Elfin Team
From Wikipedia, the free encyclopedia
La Amenaza persistente avanzada 33 (APT33) es un grupo de hackers identificado por FireEye como apoyado por el gobierno de Irán.[1][2] El grupo también se ha llamado Refined Kitten (por Crowdstrike), Magnallium (por Dragos), y Holmium (por Microsoft).[3][4][5]
Historia
FireEye cree que el grupo se formó a más tardar en 2013.
Objetivos
Se ha informado de que el APT33 se ha dirigido a objetivos de la industria aeroespacial, de defensa y petroquímica en Estados Unidos, Corea del Sur y Arabia Saudí.[2]
Modus operandi
Se dice que APT33 utiliza un dropper designado DropShot, que puede desplegar un wiper llamado ShapeShift, o instalar una puerta trasera llamada TurnedUp.[1] Se informa que el grupo utiliza la herramienta ALFASHELL para enviar correos electrónicos de spear-phishing cargados con archivos de aplicaciones HTML maliciosas a sus objetivos.[2]
El APT33 registró dominios que se hacían pasar por muchas entidades comerciales, como Boeing, Alsalam Aircraft Company, Northrop Grumman y Vinnell.[2]
Identificación
FireEye y Kaspersky Lab observaron similitudes entre el ShapeShift y Shamoon, otro virus vinculado a Irán.[1] El APT33 también usaba el Farsi en ShapeShift y DropShot, y estaba más activo durante el horario comercial de Irán, permaneciendo inactivo el fin de semana iraní.[2]
Un hacker conocido con el seudónimo de xman_1365_x estaba vinculado tanto al código de la herramienta TurnedUp como al Instituto Nasr iraní, que ha sido conectado al ciberejército iraní. xman_1365_x tiene cuentas en los foros de hackers iraníes, incluyendo Shabgard y Ashiyane.[2][6][7]
