Команда Эльфов

Иранская хакерская группа

Advanced Persistent Threat 33 ( APT33 ) — это хакерская группа, которую FireEye идентифицировала как поддерживаемую правительством Ирана . ^{[1] [2]} Группа также называлась Elfin Team , Refined Kitten ( Crowdstrike ), Magnallium (Dragos), Peach Sandstorm , ^[3] и Holmium ( Microsoft ). ^{[4] [5] [6]}

История

FireEye полагает, что группа была сформирована не позднее 2013 года. ^[1]

Цели

Сообщается, что APT33 нацелилась на объекты аэрокосмической , оборонной и нефтехимической промышленности в Соединенных Штатах , Южной Корее и Саудовской Аравии . ^{[1] [2]}

Modus operandi

Сообщается, что APT33 использует программу -дроппер DropShot, которая может развернуть вайпер ShapeShift или установить бэкдор TurnedUp. ^[1] Сообщается, что группа использует инструмент ALFASHELL для отправки фишинговых писем, загруженных вредоносными файлами HTML-приложений, своим целям. ^{[1] [2]}

APT33 зарегистрировала домены, выдавая себя за многие коммерческие организации, включая Boeing , Alsalam Aircraft Company, Northrop Grumman и Vinnell . ^[2]

Идентификация

FireEye и «Лаборатория Касперского» отметили сходство между ShapeShift и Shamoon , еще одним вирусом, связанным с Ираном. ^[1] APT33 также использовал фарси в ShapeShift и DropShot и был наиболее активен в рабочие часы по иранскому стандартному времени , оставаясь неактивным в иранские выходные. ^{[1] [2]}

Один хакер, известный под псевдонимом xman_1365_x, был связан как с кодом инструмента TurnedUp, так и с иранским институтом Nasr, который был связан с Иранской киберармией . ^{[7] [1] [2] [8]} У xman_1365_x есть аккаунты на иранских хакерских форумах, включая Shabgard и Ashiyane. ^[7]

Смотрите также

• Очаровательный котенок

Ссылки

1. Гринберг, Энди (20 сентября 2017 г.). «Новая группа иранских хакеров связана с разрушительным вредоносным ПО». Wired .
2. О'Лири, Жаклин; Кимбл, Джосайя; Вандерли, Келли; Фрейзер, Налани (20 сентября 2017 г.). «Взгляд на иранский кибершпионаж: APT33 нацелена на аэрокосмический и энергетический секторы и связана с разрушительным вредоносным ПО». FireEye .
3. «Кампании по распылению паролей Peach Sandstorm позволяют собирать разведданные о высокоприбыльных целях». Microsoft . 14 сентября 2023 г.
4. «Элфин: беспощадная шпионская группа преследует несколько организаций в Саудовской Аравии и США»
5. "МАГНАЛЛИУМ | Драгос" . 30 мая 2020 г.
6. «Microsoft заявляет, что хакеры, связанные с Ираном, атаковали бизнес». Associated Press . 6 марта 2019 г.
7. Cox, Joseph (20 сентября 2017 г.). «Подозреваемые иранские хакеры нацелились на американский аэрокосмический сектор». The Daily Beast . Архивировано из оригинала 21 сентября 2017 г. В состав непубличного вредоносного ПО, используемого APT33 под названием TURNEDUP, входит имя пользователя «xman_1365_x». У xman есть учетные записи на ряде иранских хакерских форумов, таких как Shabgard и Ashiyane, хотя FireEye заявляет, что не нашла никаких доказательств того, что xman был формально частью хактивистских групп этих сайтов. В своем отчете FireEye связывает xman с «Институтом Наср», хакерской группой, предположительно контролируемой иранским правительством.
8. Очард, Эрик; Вагстафф, Джереми; Шарафедин, Бозоргмехр (20 сентября 2017 г.). Генрих, Марк (ред.). «Однажды «котята» в мире кибершпионажа, Иран набирает хакерское мастерство: эксперты по безопасности». Reuters . FireEye обнаружила некоторые связи между APT33 и Nasr Institute, который другие эксперты связывают с Иранской киберармией, ответвлением Корпуса стражей исламской революции, но пока не нашла никаких связей с конкретным правительственным агентством, сказал Халтквист.