IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

افشای نفوذ هشت ماهه هکر‌های ایرانی OilRig به شبکه دولت‌های خاورمیانه

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iranian hackers lurked in middle eastern govt network for 8 months
گروه هکر ایرانی با نام OilRig (APT34)، به‌دست‌کم دوازده رایانه متعلق به یک شبکه دولتی خاورمیانه نفوذ کرده و به مدت هشت ماه (بین فوریه تا سپتامبر ٢٠٢٣) به آنها سترسی داشته است.

اویل‌ریگ که طبق ادعای گروه امنیتی سیمانتک، با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط است، به دلیل انجام حملات علیه ایالات متحده، خاورمیانه و آلبانی شهرت دارد.

حملات مشاهده شده توسط تیم شکارچی تهدید سیمانتک، که بخشی از Broadcom است، برای سرقت گذرواژه‌ها و داده‌ها و همچنین برای نصب PowerShell Backdoor، به نام PowerExchange استفاده شد که دستورات اجرا از طریق Microsoft Exchange را می‌پذیرد.

باگ PowerExchange برای اولین‌بار در ماه می‌٢٠٢٣ در گزارش Fortinet معرفی شد که در آن backdoor را به APT34 نسبت می‌داد، که با نمونه‌هایی که از سیستم‌های در معرض خطر یک سازمان دولتی در امارات متحده عربی مشاهده شده بود، مطابقت داشت.

در حملات مشاهده شده توسط Symantec، بدافزار با استفاده از اعتبارنامه‌های ارائه‌شده به یک Exchange Server وارد می‌شود و ایمیل‌های دریافتی را برای "@@" در سابجکت لاین مانیتور می‌کند، که نشان می‌دهد ایمیل حاوی یک ضمیمه کدگذاری شده با base64، شامل دستوراتی جهت اجرا است.

پس از اجرای دستورات دلخواه PowerShell که معمولا مربوط به عملیات نوشتن یا حذف فایل هستند، بدافزار پیام‌ها را به "موارد حذف شده" منتقل می‌کند تا احتمال شناسایی را به حداقل برساند. سپس خروجی دستورات اجرا شده به عوامل تهدید باز می‌گردد.

اساسا، Exchange به‌عنوان یک Backdoor در این حملات، فعالیت‌های APT34 را قادر می‌سازد تا با ترافیک معمولی شبکه ترکیب شود و تعداد ایمپلنت‌های معرفی‌شده را به حداقل برساند.

سایر ابزار‌های مورد استفاده توسط APT34 در کمپین اخیر عبارتند از:

• ابزار Backdoor.Tokel: دستورات PowerShell را اجرا نموده و فایل‌ها را دانلود می‌کند.
• ابزار Trojan.Dirps: فایل‌ها را شمارش کرده و دستورات PowerShell را اجرا می‌کند.
• ابزار Infostealer.Clipog: داده‌های کلیپ بورد را می‌دزدد و کلید‌های ورودی را ضبط و ذخیره می‌کند.
• ابزار Mimikatz: دامپر اعتبارنامه‌ها.
• ابزار Plink: ابزار خط فرمان برای سرویس گیرنده PuTTY SSH می‌باشد.

این حمله نه ماه طول کشید
‌حملات مشاهده شده توسط سیمانتک در ١ فوریه ٢٠٢٣ آغاز شد و که در آن از مجموعه گسترده‌ای از بدافزار‌ها، ابزار‌ها و فعالیت‌های مخرب استفاده میشد، که به مدت ٨ ماه ادامه داشت.

این حملات، با معرفی یک اسکریپت PowerShell (joper.ps1)، که چندین بار در هفته اول اجرا شد، شروع شد.

در ۵ فوریه، مهاجمان رایانه دوم را در شبکه به خطر انداختند و از یک نسخه مخفی شده Plink ('mssh.exe') برای پیکربندی دسترسی RDP استفاده کردند. در ٢١ فوریه، اجرای دستور 'netstat/an' در یک وب سرور مشاهده شد.

در آوریل، OilRigs دو سیستم دیگر را به خطر انداخت، فایل‌های بَچ ناشناخته ('p2.bat') را اجرا کرد و Mimikatz را برای ضبط اعتبارنامه به‌کار برد.

در ماه ژوئن، هکر‌ها Backdoor.Tokel و PowerExchange را بر روی دستگاه‌های تحت نفوذ اجرا کردند که به معنای شروع مرحله اصلی حمله بود.

ماه بعد، هکر‌ها TrojanDirps و Infostealer.Clipog را مستقر کردند و تونل‌های SSH را با Plink راه اندازی نمودند.

در ماه آگوست، هکر‌ها اسکن Nessus را برای آسیب‌پذیری‌های Log4j انجام دادند و در پایان ماه، سرور وب دوم را به خطر انداختند و Infostealer.Clipog را روی آن نصب کردند.

در ١ سپتامبر، حملات سه کامپیوتر دیگر را به خطر انداختند و از certutil برای دانلود Plink روی آنها و اجرای دستورات Wireshark بر روی سرور وب دوم برای ضبط پکت‌های ترافیک شبکه و USB استفاده کردند.

دو رایانه دیگر در ۵ سپتامبر مورد نفوذ قرار گرفتند و ایمپلنت Backdoor.Token روی آنها اجرا شد.

فعالیت بر روی سرور وب دوم تا ٩ سپتامبر ٢٠٢٣ ادامه یافت، و مهاجمان یک اسکریپت ناشناخته PowerShell ('joper.ps1') را اجرا کردند و اشتراک‌گذاری‌های شبکه را نصب و راه‌اندازی کردند.

اگرچه سیمانتک می‌گوید فعالیت مخربی را در حداقل ١٢ رایانه در شبکه قربانی مشاهده کرده است، آنها در ادامه ادعا‌های خود می‌گویند که شواهدی دارند که نشان می‌دهد backdoor‌ها و کی‌لاگرها در ده‌ها رایانه دیگر مستقر شده‌اند.

در مجموع، OilRigs از ترکیبی از ابزار‌ها، اسکریپت‌ها و تکنیک‌ها برای گسترش دسترسی و حفظ پایداری در چندین سیستم در یک شبکه در معرض خطر استفاده می‌نماید.

فعالیت‌های آنها ترکیبی از شناسایی (به عنوان مثال، دستورات netstat)، حرکت جانبی (به عنوان مثال، Plink برای RDP) و استخراج/برداشت داده‌ها (به عنوان مثال، Mimikatz، Infostealer.Clipog) است که قابلیت‌های طیف گسترده گروه تهدید را به خوبی نشان می‌دهد.

سیمانتک اینگونه نتیجه می‌گیرد که علیرغم اینکه اویل ریگ در سال ٢٠١٩ با فاش شدن مجموعه ابزارش با یک تهدید وجودی مواجه شد، اما با استناد این حملات طولانی، مشخص است که عوامل تهدید مانند همیشه فعال هستند.

برچسب ها: Plink, Infostealer.Clipog, Trojan.Dirps, Backdoor.Tokel, PowerExchange, اویل‌ریگ, Wireshark, PuTTY SSH, PowerShell backdoor, MOIS, OilRig, Mimikatz, Iran, اعتبارنامه, Credentials, PowerShell, Hacker, Exchange Server, RDP, ایران, APT34, Cyber Security, جاسوسی سایبری, backdoor, هکر, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل