İran Bağlantılı OilRig, 8 Aylık Siber Kampanyada Orta Doğu Hükümetlerini Hedef Alıyor
İran bağlantılı OilRig tehdit aktörü, sekiz aylık bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı.
İran bağlantılı OilRig tehdit aktörü, sekiz aylık bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı.
Saldırı, dosyaların ve şifrelerin çalınmasına yol açtı ve bir durumda, Broadcom'un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, PowerExchange adlı bir PowerShell arka kapısının konuşlandırılmasıyla sonuçlandı.
Siber güvenlik firması, etkinliği Crambus adı altında izliyor ve düşmanın implantı "bir Exchange Server'dan gönderilen gelen postaları izlemek" için kullandığını belirtiyor.
saldırganlar tarafından e-posta şeklinde gönderilen komutları yürütme emri ve sonuçları gizlice saldırganlara iletti."
Kötü amaçlı faaliyetlerin en az 12 bilgisayarda tespit edildiği, bir düzine başka makineye arka kapılar ve keylogger'ların yüklendiği ve hedefin geniş bir şekilde tehlikeye atıldığını gösterdiği söyleniyor.
PowerExchange kullanımı ilk olarak Mayıs 2023'te Fortinet FortiGuard Labs tarafından vurgulandı ve Birleşik Arap Emirlikleri ile ilişkili bir devlet kurumunu hedef alan bir saldırı zincirini belgeledi.
Sabit kodlanmış kimlik bilgileriyle bir Microsoft Exchange Server'da oturum açtıktan sonra güvenliği ihlal edilmiş posta kutularına gelen e-postaları izleyen implant, tehdit aktörünün rastgele yükler çalıştırmasına ve virüslü ana bilgisayardan dosya yüklemesine ve indirmesine olanak tanır.
Şirket, "Konu kısmında '@@' ile alınan postalar, saldırganlardan gönderilen komutları içeriyor ve bu da saldırganların rastgele PowerShell komutları yürütmelerine, dosya yazmalarına ve dosyaları çalmalarına olanak tanıyor" dedi. Kötü amaçlı yazılım, bu mesajları filtrelemek ve otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı ('defaultexchangerules' olarak adlandırılır) oluşturur."
Ayrıca, PowerExchange'in yanı sıra, aşağıda açıklanan, daha önce keşfedilmemiş üç kötü amaçlı yazılım parçası da dağıtıldı:
- Tokel, rastgele PowerShell komutlarını yürütmek ve dosyaları indirmek için bir arka kapı
- Dirps, bir dizindeki dosyaları numaralandırabilen ve PowerShell komutlarını yürütebilen bir truva atı ve
- Clipog, pano verilerini ve tuş vuruşlarını toplamak için tasarlanmış bir bilgi hırsızı
İlk erişimin tam modu açıklanmasa da, e-posta kimlik avı içerdiğinden şüpheleniliyor. Devlet ağındaki kötü niyetli faaliyetler 9 Eylül 2023'e kadar devam etti.
Symantec, "Crambus, İran'ı ilgilendiren hedeflere yönelik uzun kampanyalar yürütme konusunda kapsamlı uzmanlığa sahip, uzun süredir devam eden ve deneyimli bir casusluk grubudur" dedi. "Son iki yıldaki faaliyetleri, Orta Doğu'daki ve daha uzak bölgelerdeki kuruluşlar için devam eden bir tehdit oluşturduğunu gösteriyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı