Şirket, “Konusunda ‘@@’ bulunan postalar, saldırganlardan gönderilen komutları içeriyor ve bu da saldırganların rastgele PowerShell komutları yürütmesine, dosya yazmasına ve dosyaları çalmasına olanak tanıyor” dedi
19 Ekim 2023Haber odasıSiber Saldırı / Siber Casusluk
İran bağlantılı OilRig tehdit aktörü, sekiz ay süren bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı ”
PowerExchange’in yanı sıra aşağıda açıklanan, daha önce keşfedilmemiş üç kötü amaçlı yazılım parçası da dağıtıldı:
- Tokelisteğe bağlı PowerShell komutlarını yürütmek ve dosyaları indirmek için bir arka kapı
- Dirslerbir dizindeki dosyaları numaralandırabilen ve PowerShell komutlarını çalıştırabilen bir truva atı ve
- Klipogpano verilerini ve tuş vuruşlarını toplamak için tasarlanmış bir bilgi hırsızı
İlk erişimin kesin modu açıklanmasa da, e-posta kimlik avı içerdiğinden şüpheleniliyor
PowerExchange’in kullanımı ilk olarak Mayıs 2023’te Fortinet FortiGuard Labs tarafından vurgulanmış ve Birleşik Arap Emirlikleri ile ilişkili bir devlet kuruluşunu hedef alan bir saldırı zinciri belgelenmiştir
Symantec, “Crambus, İran’ı ilgilendiren hedeflere yönelik uzun kampanyalar yürütme konusunda kapsamlı uzmanlığa sahip, uzun süredir faaliyet gösteren ve deneyimli bir casusluk grubudur” dedi ”
En az 12 bilgisayarda kötü niyetli etkinliğin tespit edildiği söyleniyor; bir düzine başka makineye arka kapılar ve tuş kaydediciler kurulu, bu da hedefin geniş çapta tehlikeye girdiğini gösteriyor söz konusu The Hacker News ile paylaşılan bir raporda “Son iki yıldaki faaliyetleri, Orta Doğu ve daha uzak bölgelerdeki örgütler için süregelen bir tehdidi temsil ettiğini gösteriyor
Sabit kodlanmış kimlik bilgileriyle bir Microsoft Exchange Sunucusunda oturum açtıktan sonra güvenliği ihlal edilmiş posta kutularına gelen e-postaları izleyen implant, tehdit aktörünün rastgele veriler çalıştırmasına ve virüslü ana bilgisayardan dosya yükleyip indirmesine olanak tanıyor ”
siber-2
Siber güvenlik firması etkinliği bu isim altında takip ediyor Krambussaldırganın implantı “bir Exchange Sunucusundan gönderilen gelen postaları izlemek için kullandığını” belirtti Hükümet ağındaki kötü niyetli faaliyetler 9 Eylül 2023’e kadar devam etti
Saldırı, dosya ve parolaların çalınmasına yol açtı ve bir örnekte Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi PowerExchange adlı bir PowerShell arka kapısının konuşlandırılmasıyla sonuçlandı Kötü amaçlı yazılım, bu mesajları filtrelemek ve bunları otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı (“varsayılanexchangerules” olarak adlandırılır) oluşturur
Saldırganların e-posta şeklinde gönderdiği komutları yürütmek ve sonuçları gizlice saldırganlara iletmek amacıyla