İranlı Crambus Aktörleri Windows Güvenlik Duvarı Kurallarını Değiştirerek RC’yi Etkinleştirdi


İranlı Crambus Aktörleri Uzaktan Erişimi Etkinleştirmek İçin Windows Güvenlik Duvarı Kurallarını Değiştiriyor

Resmi olarak OilRig veya APT34 olarak bilinen Crambus casusluk grubu, uzun bir geçmişe ve İran hedeflerine karşı uzun süreli saldırılar yürütme konusunda büyük bir deneyime sahip.

İran bağlantılı saldırganlar, Şubat ve Eylül 2023 arasında Orta Doğu hükümetini hedef alarak birçok bilgisayar ve sunucuyu ele geçirdi.

Symantec’e göre saldırganların Windows güvenlik duvarı kurallarını uzaktan erişime izin verecek şekilde değiştirdiğine dair kanıtlar var.

Suudi Arabistan, İsrail, Birleşik Arap Emirlikleri, Irak, Ürdün, Lübnan, Kuveyt, Katar, Arnavutluk, ABD ve Türkiye, Crambus’un operasyon yürüttüğü ülkelerden sadece birkaçıydı.

Çete, casusluk ve bilgi toplama amacıyla devam eden saldırılar düzenlemesiyle ünlüdür. Son yıllarda sosyal mühendislik teknikleri, saldırıların ilk aşamalarına büyük ölçüde destek oldu.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Yeni Kampanyanın Detayları Orta Doğu Hükümetini Hedefliyor

Saldırganlar sistemin güvenliğini ihlal etti, verileri ve kimlik bilgilerini çaldı ve bir durumda PowerExchange adlı bir PowerShell arka kapısı kurdu.

Bu, saldırganların e-posta yoluyla verdiği komutları yerine getirmek için bir Exchange Sunucusundan alınan gelen e-postaları gizlice izlerken, bulguları gizlice saldırganlara aktarmak için kullanıldı.

Raporlar, en az 12 makinenin kötü amaçlı etkinlik gösterdiğini ve saldırganların çok daha fazlasına arka kapı ve keylogger yüklediğine dair kanıtlar bulunduğunu söylüyor.

Saldırganlar, Uzak Masaüstü Protokolü (RDP) aracılığıyla uzaktan erişimi etkinleştirmek amacıyla virüslü bilgisayarlarda bağlantı noktası yönlendirme kuralları ayarlamak için sık sık Plink’in halka açık ağ yönetimi uygulama aracını kullandı.

Kötü amaçlı yazılım dağıtmanın yanı sıra. Saldırganlar, uzaktan erişimi kolaylaştırmak için Windows güvenlik duvarı kurallarını değiştirdi.

Saldırganlar, kötü amaçlı yazılımlara ek olarak Backdoor gibi çeşitli arazi dışı ve meşru araçlar da kullandı. Tokel, rastgele PowerShell işlemlerini çalıştırabilir ve dosya indirebilir. Komut ve kontrol (C&C) adresi, çalışma dizininde token.bin adlı ayrı bir RC4 şifreli dosyada tutulur.

Trojan.Dirps, PowerShell komutlarını çalıştırmaya yönelik bir araçtır ve bir dizindeki tüm dosyaları numaralandırır.

Infostealer.Clipog, panodan bilgi kopyalayabilen, tuş vuruşlarını kaydedebilen ve tuş vuruşu işlemlerini kaydedebilen bir bilgi kötü amaçlı yazılımıdır.

Mimikatz, halka ücretsiz olarak sunulan bir kimlik bilgisi döküm aracıdır ve Plink, PuTTY SSH istemcisi için bir komut satırı bağlantı aracıdır.

Geçen yıl Microsoft’un grubu Arnavutluk hükümetine yönelik yıkıcı bir saldırıyla ilişkilendirmesiyle bu olay gün ışığına çıktı. Crambus’un etkilenen ağlara ilk erişimi sağladığından ve bu ağlardan veri sızdırdığından şüpheleniliyordu. İran bağlantılı diğer aktörler büyük ihtimalle silecek kullanmıştı.

“Araç setinin 2019’da sızdırılmasının ardından Crambus’un ortadan kaybolabileceğine dair bazı spekülasyonlar vardı. Ancak araştırmacılar, son iki yıldaki faaliyetleri, Orta Doğu ve daha uzak bölgelerdeki kuruluşlar için devam eden bir tehdit oluşturduğunu gösteriyor” dedi.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link