Elfin Hacking Group Menargetkan Beberapa Perusahaan AS dan Arab Saudi - Otak Kita

Elfin Hacking Group Menargetkan Beberapa Perusahaan AS dan Arab Saudi


OtakKita - Kelompok mata-mata yang terkait dengan Iran yang ditemukan menargetkan sektor infrastruktur, energi, dan militer penting di Arab Saudi dan Amerika Serikat dua tahun lalu terus menargetkan organisasi di kedua negara, Symantec melaporkan pada hari Rabu.

Dikenal luas sebagai APT33, yang oleh Symantec disebut Elfin, kelompok spionase cyber telah aktif sejak awal 2015 dan menargetkan berbagai organisasi, termasuk pemerintah, riset, kimia, teknik, manufaktur, konsultasi, keuangan, dan telekomunikasi di Timur Tengah dan bagian dunia lainnya.

Symantec mulai memantau serangan Elfin sejak awal 2016 dan menemukan bahwa kelompok itu telah meluncurkan kampanye yang sangat ditargetkan terhadap banyak organisasi dengan 42% serangan terbaru diamati terhadap Arab Saudi dan 34% terhadap Amerika Serikat.

Elfin menargetkan total 18 organisasi Amerika di bidang teknik, kimia, penelitian, konsultasi energi, keuangan, TI dan sektor kesehatan selama tiga tahun terakhir, termasuk sejumlah perusahaan Fortune 500.

    "Beberapa organisasi A.S. ini mungkin telah ditargetkan oleh Elfin untuk tujuan meningkatkan serangan rantai pasokan," kata Symantec dalam posting blog-nya. "Dalam satu contoh, sebuah perusahaan besar AS diserang pada bulan yang sama sebuah perusahaan Timur Tengah yang juga dimiliki bersama juga dikompromikan."


Peretas Masih Mengeksploitasi Kekurangan WinRAR yang Baru Ditemukan

Grup APT33 juga telah mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2018-20250) dalam aplikasi kompresi file WinRAR yang banyak digunakan yang memungkinkan penyerang diam-diam mengekstrak file berbahaya dari file arsip yang tidak berbahaya ke folder Startup Windows, akhirnya memungkinkan mereka untuk jalankan kode arbitrer pada komputer yang ditargetkan.

Kerentanan sudah ditambal oleh tim WinRAR bulan lalu tetapi ditemukan secara aktif dieksploitasi oleh berbagai kelompok peretasan dan peretas individu segera setelah rinciannya dan kode eksploitasi proof-of-concept (PoC) dipublikasikan.

Dalam kampanye APT33, eksploitasi WinRAR digunakan terhadap organisasi yang ditargetkan di sektor kimia di Arab Saudi, di mana dua penggunanya menerima file melalui email spear-phishing yang mencoba mengeksploitasi kerentanan WinRAR.

Meskipun Symantec bukan satu-satunya perusahaan yang melihat serangan mengeksploitasi kelemahan WinRAR, perusahaan keamanan FireEye juga mengidentifikasi empat kampanye terpisah yang telah ditemukan mengeksploitasi kerentanan WinRAR untuk menginstal pencuri kata sandi, trojan dan perangkat lunak berbahaya lainnya.

Apalagi? APT33 telah menyebarkan berbagai alat dalam toolkit malware kustom termasuk pintu belakang Notestuk (alias TURNEDUP), Trojan Stonedrill dan pintu belakang malware yang ditulis dalam AutoIt.

Selain malware khusus, APT33 juga menggunakan beberapa alat malware, termasuk Remcos, DarkComet, RAT Quasar, Pupy RAT, NanoCore, dan NetWeird, bersama dengan banyak alat peretasan yang tersedia untuk umum, seperti Mimikatz, SniffPass, LaZagne, dan Gpppassword.

Tautan APT33 / Elfin ke Serangan Shamoon

Pada Desember 2018, grup APT33 dikaitkan dengan gelombang serangan Shamoon yang menargetkan sektor energi, salah satunya menginfeksi sebuah perusahaan di Arab Saudi dengan malware Stonedrill yang digunakan oleh Elfin.

    "Satu korban Shamoon di Arab Saudi baru-baru ini juga telah diserang oleh Elfin dan telah terinfeksi dengan malware Stonedrill yang digunakan oleh Elfin. Karena serangan Elfin dan Shamoon terhadap organisasi ini terjadi begitu dekat, ada spekulasi bahwa kedua kelompok mungkin dihubungkan, "kata Symantec.

    "Namun, Symantec tidak menemukan bukti lebih lanjut untuk menunjukkan Elfin bertanggung jawab atas serangan Shamoon ini sampai saat ini. Kami terus memantau aktivitas kedua kelompok dengan cermat."


Pada akhir 2017, perusahaan cybersecurity FireEye mengatakan menemukan bukti bahwa APT33 bekerja atas nama pemerintah Iran, dan bahwa kelompok tersebut telah berhasil menargetkan sektor penerbangan — baik militer dan komersial — bersama dengan organisasi di sektor energi.

Symantec menggambarkan APT33 sebagai "salah satu kelompok paling aktif yang saat ini beroperasi di Timur Tengah" yang menargetkan beragam sektor, dengan "kesediaan untuk terus merevisi taktiknya dan menemukan alat apa pun yang diperlukan untuk mengkompromikan kelompok korban berikutnya."


Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel