Видимо, иранские хакеры тщательно подготовились к долгосрочной кампании.
Иранская хакерская группа, известная как OilRig (APT34), взломала по меньшей мере 12 компьютеров, принадлежащих сети правительства Ближнего Востока, и поддерживала доступ в течение 8 месяцев с февраля по сентябрь 2023 года. OilRig связана с Министерством разведки и безопасности Ирана (MOIS) и известна своими атаками на США, страны Ближнего Востока и Албанию.
Как Для просмотра ссылки Войдиили Зарегистрируйся команда Symantec , атаки были направлены на кражу паролей и данных, а также на установку вредоносного модуля PowerShell с названием «PowerExchange», который управляется через Microsoft Exchange . Впервые PowerExchange был зафиксирован в мае 2023 года, когда взломанные системы государственной организации ОАЭ были использованы для его тестирования.
Symantec обнаружил, что вредоносное ПО входит в систему через Exchange Server, используя предоставленные учетные данные, и отслеживает входящие письма с «%%» в теме, что указывает на наличие вложений с командами для выполнения. После выполнения команд вредоносный код переносит сообщения в «Удаленные», чтобы снизить вероятность обнаружения. Результаты выполненных команд отправляются обратно хакерам.
Кроме PowerExchange, APT34 использовали ряд других инструментов, таких как Backdoor.Tokel, Trojan.Dirps (перечисление файлов на компьютере жертвы и для выполнение команд PowerShell), Infostealer.Clipog (кража данных из буфера обмена и кейлоггинг), Mimikatz и Plink . Атаки, зарегистрированные Symantec, начались 1 февраля 2023 года. В процессе атаки был введен широкий ассортимент вредоносного ПО и инструментов.
Сначала был запущен скрипт PowerShell (joper.ps1), который был выполнен несколько раз в первую неделю. 5 февраля хакеры взломали второй компьютер в сети и использовали маскированную версию Plink для настройки доступа по RDP . В апреле было заражено 2 дополнительных компьютера, на которых был запущен Mimikatz для перехвата учётных данных. В июне началась основная фаза атаки, в которой были запущены Backdoor.Tokel и PowerExchange. Backdoor.Tokel позволял хакерам выполнять команды PowerShell и скачивать файлы на зараженные системы.
В августе хакеры искали уязвимости Log4j , а к сентябрю число компрометированных компьютеров достигло 15-ти. Symantec утверждает, что злоумышленники были активны как минимум на 12 компьютерах, но есть доказательства их действий и на многих других. Несмотря на угрозы, с которыми столкнулась группа OilRig в 2019 году после утечки их инструментария, последние атаки показывают, что хакеры остаются активными.
Иранская хакерская группа, известная как OilRig (APT34), взломала по меньшей мере 12 компьютеров, принадлежащих сети правительства Ближнего Востока, и поддерживала доступ в течение 8 месяцев с февраля по сентябрь 2023 года. OilRig связана с Министерством разведки и безопасности Ирана (MOIS) и известна своими атаками на США, страны Ближнего Востока и Албанию.
Как Для просмотра ссылки Войди
Symantec обнаружил, что вредоносное ПО входит в систему через Exchange Server, используя предоставленные учетные данные, и отслеживает входящие письма с «%%» в теме, что указывает на наличие вложений с командами для выполнения. После выполнения команд вредоносный код переносит сообщения в «Удаленные», чтобы снизить вероятность обнаружения. Результаты выполненных команд отправляются обратно хакерам.
Кроме PowerExchange, APT34 использовали ряд других инструментов, таких как Backdoor.Tokel, Trojan.Dirps (перечисление файлов на компьютере жертвы и для выполнение команд PowerShell), Infostealer.Clipog (кража данных из буфера обмена и кейлоггинг), Mimikatz и Plink . Атаки, зарегистрированные Symantec, начались 1 февраля 2023 года. В процессе атаки был введен широкий ассортимент вредоносного ПО и инструментов.
Сначала был запущен скрипт PowerShell (joper.ps1), который был выполнен несколько раз в первую неделю. 5 февраля хакеры взломали второй компьютер в сети и использовали маскированную версию Plink для настройки доступа по RDP . В апреле было заражено 2 дополнительных компьютера, на которых был запущен Mimikatz для перехвата учётных данных. В июне началась основная фаза атаки, в которой были запущены Backdoor.Tokel и PowerExchange. Backdoor.Tokel позволял хакерам выполнять команды PowerShell и скачивать файлы на зараженные системы.
В августе хакеры искали уязвимости Log4j , а к сентябрю число компрометированных компьютеров достигло 15-ти. Symantec утверждает, что злоумышленники были активны как минимум на 12 компьютерах, но есть доказательства их действий и на многих других. Несмотря на угрозы, с которыми столкнулась группа OilRig в 2019 году после утечки их инструментария, последние атаки показывают, что хакеры остаются активными.
- Источник новости
- www.securitylab.ru