O ator de ameaça OilRig, ligado ao Irão, teve como alvo um governo não identificado do Médio Oriente entre fevereiro e setembro de 2023, como parte de uma campanha de oito meses.
O ataque levou ao roubo de arquivos e senhas e, em um caso, resultou na implantação de um backdoor do PowerShell chamado PowerExchange, disse a equipe Symantec Threat Hunter, parte da Broadcom, em um relatório compartilhado com o The Hacker News.
A empresa de segurança cibernética está rastreando a atividade sob o nome Crambus, observando que o adversário usou o implante para “monitorar e-mails recebidos enviados de um servidor Exchange em
para executar comandos enviados pelos invasores na forma de e-mails e encaminhar sub-repticiamente os resultados aos invasores."
Diz-se que atividades maliciosas foram detectadas em nada menos que 12 computadores, com backdoors e keyloggers instalados em uma dúzia de outras máquinas, indicando um amplo comprometimento do alvo.
O uso do PowerExchange foi destacado pela primeira vez pelo Fortinet FortiGuard Labs em maio de 2023, documentando uma cadeia de ataque visando uma entidade governamental associada aos Emirados Árabes Unidos.
O implante, que monitora e-mails recebidos em caixas de correio comprometidas após fazer login em um Microsoft Exchange Server com credenciais codificadas, permite que o agente da ameaça execute cargas arbitrárias e carregue e baixe arquivos de e para o host infectado.
“Os e-mails recebidos com ‘@@’ no assunto contêm comandos enviados pelos invasores, o que lhes permite executar comandos arbitrários do PowerShell, gravar arquivos e roubar arquivos”, explicou a empresa. O malware cria uma regra do Exchange (chamada ‘defaultexchangerules’) para filtrar essas mensagens e movê-las automaticamente para a pasta Itens Excluídos.”
Também foram implantados junto com o PowerExchange três malwares anteriormente não descobertos, descritos abaixo:
Tokel, um backdoor para executar comandos arbitrários do PowerShell e baixar arquivos
Dirps, um trojan capaz de enumerar arquivos em um diretório e executar comandos do PowerShell, e
Clipog, um ladrão de informações projetado para coletar dados da área de transferência e pressionamentos de teclas
Embora o modo exato de acesso inicial não tenha sido divulgado, suspeita-se que tenha envolvido phishing por e-mail. As atividades maliciosas na rede governamental continuaram até 9 de setembro de 2023.
“Crambus é um grupo de espionagem experiente e de longa data que possui ampla experiência na realização de longas campanhas destinadas a alvos de interesse para o Irã”, disse a Symantec. "As suas actividades ao longo dos últimos dois anos demonstram que representa uma ameaça contínua para organizações no Médio Oriente e noutros locais."
Veja a noticia completa em: https://thehackernews.com/2023/10/iran-linked-oilrig-targets-middle-east.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
Grupo No Whatsapp,
App Boletim Tec 2.0 e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #oilrig #ligada #ao #irã #tem #como #alvo #governos #do #oriente #médio #em #campanha #cibernética #de #8 #meses
Postar um comentário