İran Bağlantılı OilRig, 8 Aylık Siber Kampanyasında Orta Doğu Hükümetlerini Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

İran Bağlantılı OilRig, 8 Aylık Siber Kampanyasında Orta Doğu Hükümetlerini Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri
söz konusu The Hacker News ile paylaşılan bir raporda

Şirket, “Konusunda ‘@@’ bulunan postalar, saldırganlardan gönderilen komutları içeriyor ve bu da saldırganların rastgele PowerShell komutları yürütmesine, dosya yazmasına ve dosyaları çalmasına olanak tanıyor” dedi


19 Ekim 2023Haber odasıSiber Saldırı / Siber Casusluk

İran bağlantılı OilRig tehdit aktörü, sekiz ay süren bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı

Saldırganların e-posta şeklinde gönderdiği komutları yürütmek ve sonuçları gizlice saldırganlara iletmek amacıyla

Sabit kodlanmış kimlik bilgileriyle bir Microsoft Exchange Sunucusunda oturum açtıktan sonra güvenliği ihlal edilmiş posta kutularına gelen e-postaları izleyen implant, tehdit aktörünün rastgele veriler çalıştırmasına ve virüslü ana bilgisayardan dosya yükleyip indirmesine olanak tanıyor ”

En az 12 bilgisayarda kötü niyetli etkinliğin tespit edildiği söyleniyor; bir düzine başka makineye arka kapılar ve tuş kaydediciler kurulu, bu da hedefin geniş çapta tehlikeye girdiğini gösteriyor ”

PowerExchange’in yanı sıra aşağıda açıklanan, daha önce keşfedilmemiş üç kötü amaçlı yazılım parçası da dağıtıldı:

  • Tokelisteğe bağlı PowerShell komutlarını yürütmek ve dosyaları indirmek için bir arka kapı
  • Dirslerbir dizindeki dosyaları numaralandırabilen ve PowerShell komutlarını çalıştırabilen bir truva atı ve
  • Klipogpano verilerini ve tuş vuruşlarını toplamak için tasarlanmış bir bilgi hırsızı

İlk erişimin kesin modu açıklanmasa da, e-posta kimlik avı içerdiğinden şüpheleniliyor “Son iki yıldaki faaliyetleri, Orta Doğu ve daha uzak bölgelerdeki örgütler için süregelen bir tehdidi temsil ettiğini gösteriyor

Siber güvenlik firması etkinliği bu isim altında takip ediyor Krambussaldırganın implantı “bir Exchange Sunucusundan gönderilen gelen postaları izlemek için kullandığını” belirtti ”



siber-2

PowerExchange’in kullanımı ilk olarak Mayıs 2023’te Fortinet FortiGuard Labs tarafından vurgulanmış ve Birleşik Arap Emirlikleri ile ilişkili bir devlet kuruluşunu hedef alan bir saldırı zinciri belgelenmiştir

Symantec, “Crambus, İran’ı ilgilendiren hedeflere yönelik uzun kampanyalar yürütme konusunda kapsamlı uzmanlığa sahip, uzun süredir faaliyet gösteren ve deneyimli bir casusluk grubudur” dedi

Saldırı, dosya ve parolaların çalınmasına yol açtı ve bir örnekte Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi PowerExchange adlı bir PowerShell arka kapısının konuşlandırılmasıyla sonuçlandı Hükümet ağındaki kötü niyetli faaliyetler 9 Eylül 2023’e kadar devam etti Kötü amaçlı yazılım, bu mesajları filtrelemek ve bunları otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı (“varsayılanexchangerules” olarak adlandırılır) oluşturur