Eronlik kiberjosuslar AQSh va Saudiya Arabistonidagi kompaniyalarni nishonga olmoqda.
Elfin (APT33) hujumlarining so’nggi to’lqini shu yilning fevral oyida qayd etilgan.
So’nggi uch yil ichida Eron hukumati tomonidan moliyalashtirilgan deb taxmin qilinayotgan Elfin kiberjosuslik guruhi (APT33 nomi bilan ham tanilgan) Qo’shma Shtatlar va Saudiya Arabistonidagi tashkilotlarga faol hujum qilib kelmoqda. Symantec ma’lumotlariga ko’ra, guruh qurbonlari turli sohalarni qamrab oladi. Davlat sektoridan tashqari, Elfin ishlab chiqarish, muhandislik va kimyo kompaniyalari, tadqiqot tashkilotlari, konsalting firmalari, moliyaviy va telekommunikatsiya kompaniyalari va boshqalarni ham nishonga oladi.
So’nggi uch yil ichida AQShdagi 18 ta tashkilot, jumladan, Fortune 500 kompaniyalari Elfin qurboniga aylandi. Ulardan ba’zilari ta’minot zanjiriga keyingi hujumlar niyatida nishonga olingan. Bir holatda, AQShning yirik kompaniyasi va uning Yaqin Sharqdagi sho»ba korxonasi bir oyda Elfin tomonidan nishonga olingan.
Hujumlarning so’nggi to’lqini shu yilning fevral oyida qayd etilgan. Ularni amalga oshirish uchun hujumchilar WinRAR yordam dasturidagi (CVE-2018-20250) ma’lum zaiflikdan foydalanishga harakat qilishdi, bu esa tizimda fayllarni o’rnatish va kodni bajarish imkonini beradi.
Ushbu buzg’unchilik maqsadli tashkilotning ikki xodimining kompyuterlariga zararli JobDetails.rar faylini o’z ichiga olgan fishing elektron pochtasi orqali yetkazilgan. Uni ochgandan so’ng, tizim CVE-2018-20250 uchun buzg’unchilikni yuklab oldi.
Elfin tadqiqotchilar tomonidan 2018-yil dekabr oyida yangi Shamoon hujumlari bilan bog’liq holda kuzatilgan. Shamoon hujumidan sal oldin Saudiya Arabistoni kompaniyasi Elfinning Stonedrill zararli dasturi bilan zararlangan edi. Hujumlar bir-birining ortidan juda tez sodir bo’lganligi sababli, mutaxassislar mumkin bo’lgan bog’liqlik borligiga shubha qilishdi. Biroq, bugungi kunga qadar Elfinni Shamoon hujumlari bilan bog’laydigan boshqa hech qanday dalil topilmadi.
Stonedrill orqa eshikidan tashqari, guruh maqsadli tizimdagi fayllarga kirish imkonini beruvchi Notestuk orqa eshikidan va AutoIt tilida yozilgan maxsus orqa eshikdan ham foydalanadi. Hujumchilar o’z vositalari bilan bir qatorda, qora bozorda sotib olingan dasturlardan, jumladan, Remcos, DarkComet, Quasar RAT va boshqa troyanlardan ham foydalanadilar.
