O grupo de hackers iraniano conhecido como OilRig (APT34) invadiu pelo menos doze computadores pertencentes a uma rede governamental do Oriente Médio e manteve o acesso por oito meses entre fevereiro e setembro de 2023.
OilRig é vinculado ao Ministério da Inteligência e Segurança (MOIS) do Irã, conhecido por lançar ataques contra os EUA, Oriente Médio e Albânia.
Os ataques observados pela equipe de caçadores de ameaças da Symantec, parte da Broadcom, foram usados para roubar senhas e dados, além de instalar um backdoor PowerShell apelidado de 'PowerExchange', que aceitava comandos para execução via Microsoft Exchange.
PowerExchange foi documentado pela primeira vez em maio de 2023 em um relatório da Fortinet atribuindo o backdoor ao APT34, com amostras recuperadas de sistemas comprometidos de uma organização governamental nos Emirados Árabes Unidos.
Nos ataques observados pela Symantec, o malware faz login em um servidor Exchange usando as credenciais fornecidas e monitora os e-mails recebidos para "@@" na linha de assunto, indicando que o e-mail contém um anexo codificado em base64 com comandos para execução.
Após executar os comandos PowerShell arbitrários que normalmente são relacionados à escrita de arquivo ou ações de exfiltração, o malware move as mensagens para 'Items Deletados' para minimizar a probabilidade de detecção.
A saída dos comandos executados é então enviada por e-mail de volta para os atores da ameaça.
Exchange como um backdoor nesses ataques permite que as atividades do APT34 se misturem com o tráfego de rede típico e minimizem o número de implantes introduzidos.
Outras ferramentas usadas pelo APT34 na campanha recente incluem:
Backdoor.Tokel: Executa comandos PowerShell e baixa arquivos.
Trojan.Dirps: Enumera arquivos e executa comandos PowerShell.
Infostealer.Clipog: Rouba dados da área de transferência e captura teclas digitadas.
Mimikatz: Extrai credenciais.
Plink: Ferramenta de linha de comando para cliente SSH PuTTY.
Os ataques observados pela Symantec começaram em 1 de fevereiro de 2023, e utilizam uma ampla variedade de malwares, ferramentas e atividades maliciosas que duraram por 8 meses.
Começou com a introdução de um script PowerShell (joper.ps1), que foi executado várias vezes ao longo da primeira semana.
Em 5 de fevereiro, os invasores comprometeram um segundo computador na rede e usaram uma versão mascarada do Plink ('mssh.exe') para configurar o acesso RDP.
Em 21 de fevereiro, a execução do comando 'netstat /an' foi observada em um servidor web.
Em abril, a OilRig comprometeu dois sistemas mais, executou arquivos batch desconhecidos ('p2.bat') e implantou Mimikatz para capturar credenciais.
Em junho, os hackers executaram Backdoor.Tokel e PowerExchange nas máquinas invadidas, significando o início da principal fase do ataque.
No mês seguinte, os hackers implantaram TrojanDirps e Infostealer.Clipog, e estabeleceram túneis SSH com Plink.
Em agosto, os hackers realizaram varreduras Nessus para vulnerabilidades Log4j e, no final do mês, comprometeram um segundo servidor web, instalando Infostealer.Clipog nele.
Em 1 de setembro, os ataques comprometeram mais três computadores, usando certutil para baixar Plink neles e executar comandos Wireshark no segundo servidor web para capturar pacotes de tráfego de rede e USB.
Mais dois computadores foram violados em 5 de setembro, executando o implante Backdoor.Token neles.
A atividade no segundo servidor web continuou até 9 de setembro de 2023, com os invasores executando um script PowerShell desconhecido ('joper.ps1') e realizando montagem/desmontagem de compartilhamentos de rede.
Embora a Symantec diga que observou atividade maliciosa em pelo menos 12 computadores na rede da vítima, eles têm evidências de que backdoors e gravadores de teclas foram implantados em dezenas de outros.
Em resumo, OilRig utiliza uma mix de ferramentas, scripts e técnicas para expandir seu acesso e manter persistência em vários sistemas de uma rede comprometida.
Suas atividades combinam reconhecimento (por exemplo, comandos netstat), movimentação lateral (por exemplo, Plink para RDP) e exfiltração/coleta de dados (por exemplo, Mimikatz, Infostealer.Clipog), o que destaca as capacidades de amplo espectro do grupo de ameaça.
A Symantec conclui que, apesar de o OilRig ter enfrentado uma ameaça existencial em 2019 quando seu conjunto de ferramentas foi vazado, fica claro a partir desses ataques prolongados que os atores da ameaça permanecem tão ativos quanto sempre.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...