自 2023 年 2 月以来，伊朗APT33组织已针对美国和世界各地的数千个组织发起了密码喷洒攻击。黑客从国防、卫星和制药领域的有限数量的受害者那里窃取了敏感信息。2023 年 2 月至 7 月期间，APT33 组织发起了一波密码喷射攻击，试图对数千个环境进行身份验证。在密码喷射攻击中，攻击者尝试使用单个密码或常用密码列表登录多个帐户。这种策略与暴力攻击不同，暴力攻击使用一长串密码来针对单个帐户。密码喷射使攻击者能够显着增加成功的机会，同时降低触发自动帐户锁定的风险。

Marco Ramilli研究人员发布了针对伊朗APT组织的初步分析报告，其基于MITER ATT＆CK和Malpedia介绍了组织之间的相互关系。OilRig组织主要在中东开展活动，目标是该地区各行各业的组织，偶尔也会将目标锁定在中东以外的组织。OilRig也会进行供应链攻击。OilRig使用Mimikatz和laZagne等开源工具，Microsoft发行版或sysinternals上可用的常见sysadmin工具集。MuddyWater组织主要针对中东国家，同时也针对欧洲和北美国家。该组织的受害者主要是电信，政府（IT服务）和石油部门。目前只有Powerstats后门才被归因于该组织。APT33组织至少从2013年开始运营，目标是美国、沙特阿拉伯和韩国的多个行业的组织，其TTP非常接近MuddyWater。CopyKittens是至少从2013年就开始运作，目标国家包括以色列、沙特阿拉伯、土耳其、美国、约旦和德国，其使用CobaltStrike工具，在Windows和IOS上使用了代码签名。Cleaver组织，负责Cleaver行动，强有力的间接证据表明Cleaver与组织2889 (TG-2889)有关。

paloalt对来自伊朗的高级威胁做个详细的描述，报告APT组织，APT组织的攻击活动，TTP 战法对应的ATTCK 、详细的IOC 信息等

趋势科技最近研究分析表明，APT33组织使用了大约12个实时C2服务器进行定向攻击活动，目标包括中东、美国和亚洲的组织。这些C2域通常托管在云托管代理上，这些代理将来自受感染bots的URL请求转发到共享web服务器的后端，共享web服务器可能托管数千个合法域。后端将漫游器数据回传给专用IP地址上的数据聚合器和漫游器控制服务器。APT33通过带有频繁更改的出口节点的私有VPN网络连接到这些聚合器，然后APT33向bots发出命令，并使用这些VPN 连接从bots收集数据。研究人员通过对该组织私人VPN出口节点的跟踪，发现其中一些IP地址对中东的一家石油勘探公司和军事医院以及美国的一家石油公司的网络进行了侦察。同时，APT33还利用其私有VPN网络访问渗透测试公司网站、网络邮件、漏洞网站、加密货币相关网站，以及阅读黑客博客和论坛。

最近，伊朗APT组织Charming Kitten被发现试图攻击美国政府官员、政治记者等人物的电子邮件账户。该组织利用社交工程方法，模仿社交网站媒体，向受害者手机发送SMS消息传播鱼叉式钓鱼邮件。攻击者伪装成受害者熟人，发送包含谷歌站点的链接，诱导受害者下载位于熟人谷歌站点的文件，从而收集受害者的谷歌凭据。还通过向受害者发送短信进行钓鱼，该短信使用"Live Recover"的发送者ID，并包含一个关于陌生人的警告，提醒受害者该陌生人试图破坏其电子邮件，受害者必须通过一个附加的链接进行验证。攻击者还假装发现一名朝鲜攻击者试图侵入受害者的雅虎邮箱，发送消息提示受害者，被指控的入侵者IP地址被附加到消息中(该IP确实是朝鲜)，并要求受害者点击邮件中的按钮保护他们的帐户。除以上钓鱼手法，攻击者还通过模仿社交网络的安全团队，获取目标的身份验证因素。

伊朗黑客组织APT33（又名Elfin等）至少从2013年开始活动，该组织主要针对中东国家，同时也针对美国，南韩，欧洲等多个行业的商业实体。自2019年3月28日以来，该组织已收集了1200多个域名。其中，有728个被发现与被感染的主机通信。这些连接中的575个与19个最新公开的RAT相关。该小组还非常重视使用商品恶意软件。其中包括AdwindRAT，RevengeRAT和“ APT33组新手” njRAT，这是之前与APT33不相关的后门程序包。此次发现的恶意活动针对沙特的综合、医疗、金属、媒体、和外交行业。

美国和伊朗继续加剧紧张局势，最近加速了霍尔木兹海峡的言论和行动，但也加剧了网络领域。在过去三个月中，Recorded Future的Insikt集团观察到APT33（也称为Elfin）基础设施建设和目标活动的增加，以及2019年6月21日雅虎！据新闻报道，美国网络司令部对“伊朗间谍组织”发起了网络攻击。

Elfin间谍组织（又称APT33）在过去三年中一直保持高度活跃，攻击沙特阿拉伯，美国和其他一些国家的至少50个组织。

讨论有关中东地区黑客组织的网络攻击行为时，许多人会想到伊朗的间谍组织，例如著名的SHAMOON（又名Disttrack），该组织初期的攻击目标在波斯湾周边地区。然而，在过去的几年中，我们一直在跟踪一个单独但鲜为人知的、具有潜在破坏能力的、被怀疑与伊朗有关的网络间谍组织，我们将其称之为APT33。分析表明，APT33的活动踪迹至少可以追溯至2013年，该组织很可能是为伊朗政府工作。