.png)
İran Bağlantılı OilRig, 8 Aylık Siber Kampanyada Orta Doğu Hükümetlerini Hedef Alıyor
İran bağlantılı OilRig tehdit aktörü, sekiz aylık bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı.
İran bağlantılı OilRig tehdit aktörü, sekiz aylık bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında adı açıklanmayan bir Orta Doğu hükümetini hedef aldı.
Saldırı, dosyaların ve şifrelerin çalınmasına yol açtı ve bir durumda, Broadcom'un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, PowerExchange adlı bir PowerShell arka kapısının konuşlandırılmasıyla sonuçlandı.
Siber güvenlik firması, etkinliği Crambus adı altında izliyor ve düşmanın implantı "bir Exchange Server'dan gönderilen gelen postaları izlemek" için kullandığını belirtiyor.
saldırganlar tarafından e-posta şeklinde gönderilen komutları yürütme emri ve sonuçları gizlice saldırganlara iletti."
Kötü amaçlı faaliyetlerin en az 12 bilgisayarda tespit edildiği, bir düzine başka makineye arka kapılar ve keylogger'ların yüklendiği ve hedefin geniş bir şekilde tehlikeye atıldığını gösterdiği söyleniyor.
PowerExchange kullanımı ilk olarak Mayıs 2023'te Fortinet FortiGuard Labs tarafından vurgulandı ve Birleşik Arap Emirlikleri ile ilişkili bir devlet kurumunu hedef alan bir saldırı zincirini belgeledi.
Sabit kodlanmış kimlik bilgileriyle bir Microsoft Exchange Server'da oturum açtıktan sonra güvenliği ihlal edilmiş posta kutularına gelen e-postaları izleyen implant, tehdit aktörünün rastgele yükler çalıştırmasına ve virüslü ana bilgisayardan dosya yüklemesine ve indirmesine olanak tanır.
Şirket, "Konu kısmında '@@' ile alınan postalar, saldırganlardan gönderilen komutları içeriyor ve bu da saldırganların rastgele PowerShell komutları yürütmelerine, dosya yazmalarına ve dosyaları çalmalarına olanak tanıyor" dedi. Kötü amaçlı yazılım, bu mesajları filtrelemek ve otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı ('defaultexchangerules' olarak adlandırılır) oluşturur."
Ayrıca, PowerExchange'in yanı sıra, aşağıda açıklanan, daha önce keşfedilmemiş üç kötü amaçlı yazılım parçası da dağıtıldı:
- Tokel, rastgele PowerShell komutlarını yürütmek ve dosyaları indirmek için bir arka kapı
- Dirps, bir dizindeki dosyaları numaralandırabilen ve PowerShell komutlarını yürütebilen bir truva atı ve
- Clipog, pano verilerini ve tuş vuruşlarını toplamak için tasarlanmış bir bilgi hırsızı
İlk erişimin tam modu açıklanmasa da, e-posta kimlik avı içerdiğinden şüpheleniliyor. Devlet ağındaki kötü niyetli faaliyetler 9 Eylül 2023'e kadar devam etti.
Symantec, "Crambus, İran'ı ilgilendiren hedeflere yönelik uzun kampanyalar yürütme konusunda kapsamlı uzmanlığa sahip, uzun süredir devam eden ve deneyimli bir casusluk grubudur" dedi. "Son iki yıldaki faaliyetleri, Orta Doğu'daki ve daha uzak bölgelerdeki kuruluşlar için devam eden bir tehdit oluşturduğunu gösteriyor."
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı