برای کارکرد بهتر وب‌سایت و بهبود تجربه کاربری شما با سرتفا، ما نیاز به اجرای سرویس تجزیه و تحلیل آماری داریم، آیا موافق این موضوع هستید؟

به‌روزرسانی

شرکت‌های آمریکایی و سعودی هدف گروه هک ایرانی الفین «Elfin»

شرکت امنیتی سیمانتک در گزارشی اعلام کرده است که گروه هک ایرانی الفین «Elfin» که دو سال پیش بخش‌های مرتبط با انرژی، زیرساخت‌های ارتباطی و نظامی در کشورهای عربستان سعودی و ایالات متحده آمریکا را هدف حمله قرار داده‌ بود، به‌تازگی برخی سازمان‌ها در این دو کشور را با استفاده از آسیب‌پذیری شناخته شده در برنامه WinRAR، هدف حملات جدید خود قرار داده‌‌اند.


12 فروردین 98 | 06:27
شرکت‌های آمریکایی و سعودی هدف گروه هک ایرانی الفین «Elfin»fireeye :منبع عکس

گروه هک الفین «Elfin» که عموماً تحت عنوان APT33 شناخته می‌شود، یک گروه جاسوسی سایبری است که از اواخر سال ۲۰۱۵ فعال خود را آغاز کرده و دولت‌ها، سازمان‌های پژوهشی، شرکت‌های فعال در حوزه شیمیایی، مهندسی، زیرساختی، مشاوره، مالی و ارتباطات مخابراتی را در کشورهای مختلف در خاورمیانه و دیگر نقاط جهان را هدف حملات خود قرار داده است.

شرکت سیمانتک، فعالیت‌های گروه الفین را از اواخر سال ۲۰۱۶ تحت نظارت خود قرار داده و دریافته است که فعالیت‌های این گروه شامل کمپین‌های هک علیه شرکت‌هایی است که ۴۳ درصد آن‌ها متعلق به عربستان سعودی و ۳۴ درصدشان متعلق به ایالات متحده آمریکاست.

به گفته سیمانتک، الفین در مجموع ۱۸ سازمان آمریکایی را در بخش‌های مهندسی، شیمی، پژوهش، مشاوره انرژی، مالی، فناوری اطلاعات و سلامت را در سه سال گذشته هدف قرار داده که برخی شرکت‌های مورد هدف این گروه، در لیست فورچون جهانی ۵۰۰ هستند.

سیمانتک در گزارش خود گفته است که برخی از این شرکت‌ها به‌منظور پایه‌ریزی حملات زنجیره‌ای، هدف الفین قرار گرفته‌اند. برای مثال یک شرکت بزرگ آمریکایی دقیقاً در زمانی هدف قرار گرفته است که یکی از شرکت‌های زیرمجموعه آن در خاورمیانه، تحت تاثیر حملات این گروه بوده است.

 

استفاده هکرها از آسیب‌پذیری برنامه WinRAR

گروه هک الفین از آسیب‌پذیری CVE-2018-20250 که به تازگی در برنامه WinRAR کشف شده، در حملات خود استفاده کرده‌اند که به آن‌ها اجازه می‌دهد به‌راحتی فایل‌های آلوده را از یک فایل فشرده خارج کرده و به پوشه استارت ویندوز منتقل کنند.

این آسیب‌پذیری، ماه گذشته مورد شناسایی قرار گرفت که بلافاصله توسط سازندگان برنامه WinRAR اصلاح شد. اما آنچه که مشخص است، افراد و گروه‌های هک بسیاری از آسیب‌پذیری آن، پس از آنکه جزئیات آسیب‌پذیری و کدهای بهره‌برداری آن عمومی شده است، استفاده کرده‌اند.

به گفته سیمانتک، این آسیب‌پذیری توسط گروه هک ایرانی الفین و از طریق ایمیل‌های فیشینگ که در پیوست آن‌ها فایل‌های آلوده WinRAR ضمیمه شده بود، علیه یک شرکت در بخش تولیدات شیمیایی در کشور عربستان سعودی استفاده شده است.

 

گروه الفین «APT33»

براساس اطلاعات موجود، گروه هک الفین، مجموعه گسترده‌ای از ابزارهایی مانند Notestuk backdoor،  Stonedrill Trojan و یک درب‌پشتی اختصاصی را در دست دارد که از آن‌ها برای حملات مختلف خود استفاده می‌کند. علاوه براین، گروه الفین از بدافزارهای متعددی مانند Remcos, DarkComet, Quasar RAT, Pupy RAT, NanoCore و NetWeird و همین‌طور ابزارهای هک دیگر مانند Mimikatz, SniffPass, LaZagne و Gpppassword استفاده می‌کند.

 

ارتباط گروه الفین با حملات شامون Shamoon

در دسامبر سال ۲۰۱۸، طی حملات شامون، یک گروه هک با استفاده از بدافزار Stonedrill به بخش‌های فعال در حوزه انرژی در عربستان سعودی حمله کرد که این بدافزار توسط الفین استفاده می‌شود.

سیمانتک در این مورد گفته است که یکی از قربانیان حملات شامون در عربستان سعودی با استفاده از بدافزار Stonedrill مورد هدف قرار گرفته که این بدافزار توسط الفین مورد استفاده قرار می‌گیرد. از آن‌جا که حملات جدید گروه الفین و حمله شامون با فاصله بسیاری کمی نسبت به هم انجام شده، این ظن وجود دارد که این دو به یکدیگر مرتبط باشند. هرچند که سیمانتک شواهد بیشتری برای اثبات این ارتباط پیدا نکرده، اما ما هم‌چنان در حال رصد تنگاتنگ فعالیت‌های هر دو گروه است.

 

 

توضیحات بیشتر در:

Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S

 

 

گروه خبر سرتفا

گروه خبر سرتفا

یکی از اهداف سرتفا، انتشار سریع اخبار مربوط به رویدادها و رخدادهای حوزه امنیت سایبری است. بر همین اساس، گروه خبر سرتفا پس انتخاب اخبار از منابع رسمی و معتبر خارجی، اقدام به ترجمه، ویرایش و ساده‌سازی خبر برای مخاطبان این حوزه می‌کند.