Grupo Elfin Hacking tem como alvo várias empresas dos EUA e da Arábia Saudita

Um grupo de espionagem ligado ao Irã que foi encontrado visando setores críticos de infraestrutura , energia e militar na Arábia Saudita e nos Estados Unidos há dois anos continua visando organizações nos dois países, informou a Symantec na quarta-feira.

Amplamente conhecido como APT33 , que a Symantec chama de Elfin , o grupo de espionagem virtual está ativo desde o final de 2015 e tem como alvo uma ampla gama de organizações, incluindo governo, pesquisa, química, engenharia, manufatura, consultoria, finanças e telecomunicações no Oriente Médio e outras partes do mundo.

A Symantec começou a monitorar os ataques da Elfin desde o início de 2016 e descobriu que o grupo lançou uma campanha altamente direcionada contra várias organizações, com 42% dos ataques mais recentes observados contra a Arábia Saudita e 34% contra os Estados Unidos. A Elfin segmentou um total de 18 organizações americanas nos setores de engenharia, química, pesquisa, consultoria de energia, finanças, TI e saúde nos últimos três anos, incluindo várias empresas da Fortune 500.

“Algumas dessas organizações americanas podem ter sido alvo da Elfin com o objetivo de aumentar os ataques da cadeia de suprimentos”, disse a Symantec em seu post no blog . “Em um exemplo, uma grande empresa dos EUA foi atacada no mesmo mês em que uma empresa do Oriente Médio que ela é co-proprietária também foi comprometida.”

Hackers ainda exploram falhas recentemente descobertas no WinRAR

O grupo APT33 também vem explorando uma vulnerabilidade crítica divulgada recentemente ( CVE-2018-20250 ) no amplamente utilizado aplicativo de compactação de arquivos WinRAR, que permite que os invasores silenciosamente extraiam arquivos maliciosos de um arquivo inofensivo para uma pasta de inicialização do Windows, permitindo que eles executar código arbitrário no computador de destino.

A vulnerabilidade já foi corrigida pela equipe do WinRAR no mês passado, mas foi ativamente explorada por vários grupos de hackers e hackers individuais imediatamente depois que seus detalhes e código de exploração de prova de conceito (PoC) tornaram-se públicos .

Na campanha APT33, a exploração do WinRAR foi usada contra uma organização-alvo no setor de produtos químicos na Arábia Saudita, onde dois de seus usuários receberam um arquivo por meio de um e-mail de spear phishing que tentou explorar a vulnerabilidade do WinRAR.

Embora a Symantec não seja a única empresa a identificar ataques explorando a falha do WinRAR, a empresa de segurança FireEye também identificou quatro campanhas separadas que foram encontradas explorando a vulnerabilidade do WinRAR para instalar ladrões de senha, trojans e outros softwares maliciosos.