Notícias

Falha do Outlook explorada pelo APT33 iraniano, alerta de problemas de cibercomunicação nos EUA

O US Cyber ​​Command (US CyberCom) emitiu um alerta de malware no Twitter com relação à exploração ativa da vulnerabilidade do CVE-2017-11774  Outlook para atacar agências do governo dos EUA, permitindo que os invasores executem comandos arbitrários em sistemas comprometidos.

Embora a US CyberCom não tenha mencionado a ameaça por trás dos ataques, os pesquisadores de segurança da Chronicle, FireEye e  Palo Alto Networks os ligaram ao grupo de espionagem eletrônica APT33, apoiado pelo Irã.

O APT33 (também conhecido como Elfin ) é um grupo de ameaça iraniano com operações que vão até 2013 visando organizações de várias indústrias nos Estados Unidos, Arábia Saudita e Coréia do Sul (por exemplo, governo, pesquisa, finanças e engenharia), com foco nas entidades da energia e da aviação. [ 1 , 2 ]

Avisos anteriores do APT33

O alerta do US CyberCom não é o único a mencionar a atividade do APT33 desde o início de 2019, já que a Agência de Segurança de Infraestrutura e Cibernética dos EUA (CISA) também emitiu um alerta similar no mês passado.

Na época, o diretor da CISA, Chris Krebs,  postou uma declaração intitulada “Declaração da CISA sobre ameaças à segurança cibernética iraniana” em sua conta no Twitter que mencionava um aumento no número de ataques cibernéticos que usavam ferramentas destrutivas de disco rígido voltadas para entidades privadas e governamentais dos EUA. por atores ou proxies iranianos.

Declaração da CISA sobre ameaças à segurança cibernética iraniana
Declaração da CISA sobre ameaças à segurança cibernética iraniana

A Symantec, que deu ao APT33 o Elfin monicker, também disse em março que “uma onda recente de ataques em fevereiro de 2019, Elfin tentou explorar uma vulnerabilidade conhecida (CVE-2018-20250) no WinRAR, o amplamente utilizado utilitário de compactação e compactação de arquivos.” de criar arquivos compactados de extração automática. “

A equipe de segurança também insinuou a conexão entre o APT33 e os destrutivos ataques de Shamoon feitos por Chronicle, afirmando que “Uma vítima de Shamoon na Arábia Saudita havia sido recentemente atacada por Elfin e infectada com o malware Stonedrill (Trojan.Stonedrill) usado por Elfin “

“Como os ataques Elfin e Shamoon contra esta organização ocorreram tão próximos, houve especulações de que os dois grupos podem estar ligados.”

Malware usado em ataques anteriores ao APT33

Algumas das amostras de malware carregadas  pelo US CyberCom para o VirusTotal são ferramentas maliciosas usadas pelo APT33 em ataques anteriores após o comprometimento de servidores da Web, conforme detalhado por Brandon Levene, chefe de Inteligência Aplicada do Chronicle.

“Os executáveis ​​enviados pela CyberCom parecem estar relacionados à atividade Shamoon2, que ocorreu por volta de janeiro de 2017. Esses executáveis ​​são ambos downloaders que utilizam o powershell para carregar o PUPY RAT”, diz Levene.

“Além disso, a CyberCom carregou três ferramentas provavelmente usadas para a manipulação e de servidores da Web explorados. Cada ferramenta tem um propósito ligeiramente diferente, mas há uma capacidade clara da parte do invasor de interagir com os servidores que eles possam ter comprometido.”

Andrew Thompson, da FireEye, também acrescentou que os ataques que a US CyberCom alertou são similares aos descritos no ano passado no blog da FireEye Intelligence, e estão usando cargas úteis da RULER.HOMEPAGE para remover o backdoor POWERTON baseado no PowerShell.

Thompson também atribuiu diretamente os ataques contínuos do Outlook mencionados no alerta Twitter do US CyberCom ao grupo de hackers APT330.

Fonte

Mais Lidas

To Top