İran bağlantılı OilRig tehdit aktörü, sekiz ay süren bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, saldırının dosyaların ve şifrelerin çalınmasına yol açtığını ve bir durumda PowerExchange adı verilen bir PowerShell arka kapısının konuşlandırılmasıyla sonuçlandığını söyledi.
Siber güvenlik firması etkinliği bu isim altında takip ediyor Krambussaldırganın implantı “bir Exchange Sunucusundan gönderilen gelen postaları izlemek için kullandığını” belirtti.
Saldırganların e-posta şeklinde gönderdiği komutları yürütmek ve sonuçları gizlice saldırganlara iletmek amacıyla.”
En az 12 bilgisayarda kötü niyetli etkinliğin tespit edildiği söyleniyor; bir düzine başka makineye arka kapılar ve tuş kaydediciler kurulu, bu da hedefin geniş çapta tehlikeye girdiğini gösteriyor.
PowerExchange’in kullanımı ilk olarak Mayıs 2023’te Fortinet FortiGuard Labs tarafından vurgulanmış ve Birleşik Arap Emirlikleri ile ilişkili bir devlet kuruluşunu hedef alan bir saldırı zinciri belgelenmiştir.
Sabit kodlanmış kimlik bilgileriyle bir Microsoft Exchange Sunucusunda oturum açtıktan sonra güvenliği ihlal edilmiş posta kutularına gelen e-postaları izleyen implant, tehdit aktörünün rastgele veriler çalıştırmasına ve virüslü ana bilgisayardan dosya yükleyip indirmesine olanak tanıyor.
Şirket, “Konusunda ‘@@’ bulunan postalar, saldırganlardan gönderilen komutları içeriyor ve bu da saldırganların rastgele PowerShell komutları yürütmesine, dosya yazmasına ve dosyaları çalmasına olanak tanıyor” dedi. Kötü amaçlı yazılım, bu mesajları filtrelemek ve bunları otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı (“varsayılanexchangerules” olarak adlandırılır) oluşturur.”
PowerExchange’in yanı sıra aşağıda açıklanan, daha önce keşfedilmemiş üç kötü amaçlı yazılım parçası da dağıtıldı:
- Tokelisteğe bağlı PowerShell komutlarını yürütmek ve dosyaları indirmek için bir arka kapı
- Dirslerbir dizindeki dosyaları numaralandırabilen ve PowerShell komutlarını çalıştırabilen bir truva atı ve
- klipspano verilerini ve tuş vuruşlarını toplamak için tasarlanmış bir bilgi hırsızı
İlk erişimin kesin modu açıklanmasa da, e-posta kimlik avı içerdiğinden şüpheleniliyor. Hükümet ağındaki kötü niyetli faaliyetler 9 Eylül 2023’e kadar devam etti.
Symantec, “Crambus, İran’ı ilgilendiren hedeflere yönelik uzun kampanyalar yürütme konusunda kapsamlı uzmanlığa sahip, uzun süredir faaliyet gösteren ve deneyimli bir casusluk grubudur” dedi. “Son iki yıldaki faaliyetleri, Orta Doğu ve daha uzak bölgelerdeki örgütler için süregelen bir tehdidi temsil ettiğini gösteriyor.”