Раскрыта кибершпионская активность иранской группировки Elfin

Компания Symantec раскрыла в своем блоге подробности действий хакерской группировки Elfin (другое название – APT33). Эта группа действует с 2015 либо с начала 2016 года и, предположительно, имеет поддержку на уровне властей Ирана. Целями ее атак становятся правительственные организации, а также исследовательские учреждения и крупные компании в таких ключевых отраслях как химическая промышленность, строительство, производственный сектор, телекоммуникации и финансовые услуги.

Главное внимание хакеров Elfin сосредоточено на Саудовской Аравии, на которую приходятся 42% всех атак группировки. Однако не обделены вниманием киберпреступников и другие страны: в частности, атакам подверглись 18 целей в США, при этом в их числе есть компании, входящие рейтинг топ-500 журнала Fortune. В некоторых случаях хакеров явно интересовала возможность организации дальнейших атак по цепочке, связывающей компании-жертвы с поставщиками и заказчиками.

Последний на данный момент всплеск активности Elfin пришелся на февраль нынешнего года. Киберпреступники использовали инструменты, эксплуатирующие известную уязвимость CVE-2018-20250 в популярном архиваторе WinRAR. В целом же, как отмечают исследователи Symantec, группировку характеризует «стремление постоянно пересматривать свою тактику, подбирая инструменты, наиболее подходящие для атак на каждую новую жертву».

Источник: CNet