Видимо, иранские хакеры тщательно подготовились к долгосрочной кампании.
Иранская хакерская группа, известная как OilRig (APT34), взломала по меньшей мере 12 компьютеров, принадлежащих сети правительства Ближнего Востока, и поддерживала доступ в течение 8 месяцев с февраля по сентябрь 2023 года. OilRig связана с Министерством разведки и безопасности Ирана (MOIS) и известна своими атаками на США, страны Ближнего Востока и Албанию.
Как отметила команда Symantec, атаки были направлены на кражу паролей и данных, а также на установку вредоносного модуля PowerShell с названием «PowerExchange», который управляется через Microsoft Exchange. Впервые PowerExchange был зафиксирован в мае 2023 года, когда взломанные системы государственной организации ОАЭ были использованы для его тестирования.
Symantec обнаружил, что вредоносное ПО входит в систему через Exchange Server, используя предоставленные учетные данные, и отслеживает входящие письма с «%%» в теме, что указывает на наличие вложений с командами для выполнения. После выполнения команд вредоносный код переносит сообщения в «Удаленные», чтобы снизить вероятность обнаружения. Результаты выполненных команд отправляются обратно хакерам.
Кроме PowerExchange, APT34 использовали ряд других инструментов, таких как Backdoor.Tokel, Trojan.Dirps (перечисление файлов на компьютере жертвы и для выполнение команд PowerShell), Infostealer.Clipog (кража данных из буфера обмена и кейлоггинг), Mimikatz и Plink. Атаки, зарегистрированные Symantec, начались 1 февраля 2023 года. В процессе атаки был введен широкий ассортимент вредоносного ПО и инструментов.
Сначала был запущен скрипт PowerShell (joper.ps1), который был выполнен несколько раз в первую неделю. 5 февраля хакеры взломали второй компьютер в сети и использовали маскированную версию Plink для настройки доступа по RDP. В апреле было заражено 2 дополнительных компьютера, на которых был запущен Mimikatz для перехвата учётных данных. В июне началась основная фаза атаки, в которой были запущены Backdoor.Tokel и PowerExchange. Backdoor.Tokel позволял хакерам выполнять команды PowerShell и скачивать файлы на зараженные системы.
В августе хакеры искали уязвимости Log4j, а к сентябрю число компрометированных компьютеров достигло 15-ти. Symantec утверждает, что злоумышленники были активны как минимум на 12 компьютерах, но есть доказательства их действий и на многих других. Несмотря на угрозы, с которыми столкнулась группа OilRig в 2019 году после утечки их инструментария, последние атаки показывают, что хакеры остаются активными.
Спойлер: мы раскрываем их любимые трюки