İran Bağlantılı OilRig, 8 Aylık Siber Kampanyada Orta Doğu Hükümetlerini Hedef Alıyor

İran bağlantılı OilRig tehdit aktörü, sekiz aylık bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı.

Saldırı, dosyaların ve şifrelerin çalınmasına yol açtı ve bir durumda, Broadcom'un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, PowerExchange adlı bir PowerShell arka kapısının konuşlandırılmasıyla sonuçlandı.

Siber güvenlik firması, etkinliği Crambus adı altında izliyor ve düşmanın implantı "bir Exchange Server'dan gönderilen gelen postaları izlemek" için kullandığını belirtiyor.

saldırganlar tarafından e-posta şeklinde gönderilen komutları yürütme emri ve sonuçları gizlice saldırganlara iletti."

Kötü amaçlı faaliyetlerin en az 12 bilgisayarda tespit edildiği, bir düzine başka makineye arka kapılar ve keylogger'ların yüklendiği ve hedefin geniş bir şekilde tehlikeye atıldığını gösterdiği söyleniyor.

PowerExchange kullanımı ilk olarak Mayıs 2023'te Fortinet FortiGuard Labs tarafından vurgulandı ve Birleşik Arap Emirlikleri ile ilişkili bir devlet kurumunu hedef alan bir saldırı zincirini belgeledi.

Sabit kodlanmış kimlik bilgileriyle bir Microsoft Exchange Server'da oturum açtıktan sonra güvenliği ihlal edilmiş posta kutularına gelen e-postaları izleyen implant, tehdit aktörünün rastgele yükler çalıştırmasına ve virüslü ana bilgisayardan dosya yüklemesine ve indirmesine olanak tanır.

Şirket, "Konu kısmında '@@' ile alınan postalar, saldırganlardan gönderilen komutları içeriyor ve bu da saldırganların rastgele PowerShell komutları yürütmelerine, dosya yazmalarına ve dosyaları çalmalarına olanak tanıyor" dedi. Kötü amaçlı yazılım, bu mesajları filtrelemek ve otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı ('defaultexchangerules' olarak adlandırılır) oluşturur."

Ayrıca, PowerExchange'in yanı sıra, aşağıda açıklanan, daha önce keşfedilmemiş üç kötü amaçlı yazılım parçası da dağıtıldı:

  • Tokel, rastgele PowerShell komutlarını yürütmek ve dosyaları indirmek için bir arka kapı
  • Dirps, bir dizindeki dosyaları numaralandırabilen ve PowerShell komutlarını yürütebilen bir truva atı ve
  • Clipog, pano verilerini ve tuş vuruşlarını toplamak için tasarlanmış bir bilgi hırsızı

İlk erişimin tam modu açıklanmasa da, e-posta kimlik avı içerdiğinden şüpheleniliyor. Devlet ağındaki kötü niyetli faaliyetler 9 Eylül 2023'e kadar devam etti.

Symantec, "Crambus, İran'ı ilgilendiren hedeflere yönelik uzun kampanyalar yürütme konusunda kapsamlı uzmanlığa sahip, uzun süredir devam eden ve deneyimli bir casusluk grubudur" dedi. "Son iki yıldaki faaliyetleri, Orta Doğu'daki ve daha uzak bölgelerdeki kuruluşlar için devam eden bir tehdit oluşturduğunu gösteriyor."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği