Il gruppo di minaccia OilRig, associato all’Iran, ha lanciato un attacco contro un governo non specificato del Medio Oriente tra febbraio e settembre 2023, in una campagna durata otto mesi.
Dettagli dell’attacco
L’attacco ha portato al furto di file e password e, in un’occasione, ha comportato il dispiegamento di un backdoor PowerShell chiamato PowerExchange, come riportato dal Symantec Threat Hunter Team, parte di Broadcom. La società di cybersecurity sta monitorando l’attività sotto il nome di “Crambus”, notando che l’avversario ha utilizzato l’implant per “monitorare le email in arrivo inviate da un Exchange Server al fine di eseguire comandi inviati dagli aggressori sotto forma di email e inoltrare segretamente i risultati agli attaccanti”. Si ritiene che l’attività dannosa sia stata rilevata su almeno 12 computer, con backdoor e keylogger installati su altre dodici macchine, indicando un ampio compromesso del bersaglio.
Dettagli su PowerExchange
L’uso di PowerExchange è stato inizialmente evidenziato da Fortinet FortiGuard Labs nel maggio 2023, documentando una catena di attacchi contro un’entità governativa associata agli Emirati Arabi Uniti. L’implant monitora le email in arrivo nelle caselle di posta compromesse dopo aver effettuato l’accesso a un Microsoft Exchange Server con credenziali predefinite, permettendo all’attore della minaccia di eseguire payload arbitrari e caricare e scaricare file dall’host infetto.
Altri malware utilizzati
Oltre a PowerExchange, sono stati dispiegati altri tre malware precedentemente non scoperti:
- Tokel: un backdoor per eseguire comandi PowerShell arbitrari e scaricare file.
- Dirps: un trojan in grado di elencare file in una directory ed eseguire comandi PowerShell.
- Clipog: uno stealer di informazioni progettato per raccogliere dati dagli appunti e dai tasti premuti.
Modalità di accesso iniziale
Anche se la modalità di accesso iniziale non è stata divulgata, si sospetta che sia stata coinvolta la phishing tramite email. L’attività dannosa sulla rete governativa è continuata fino al 9 settembre 2023.
“Crambus è un gruppo di spionaggio di lunga data ed esperto che ha una vasta esperienza nel condurre lunghe campagne rivolte a obiettivi di interesse per l’Iran“, ha dichiarato Symantec. “Le sue attività negli ultimi due anni dimostrano che rappresenta una minaccia continua per le organizzazioni nel Medio Oriente e oltre”.