导语
伊朗相关的OilRig组织最近在中东政府中展开了一场长达8个月的网络攻击行动。这次攻击导致了文件和密码的被窃取,并且在其中一次攻击中,攻击者还使用了一种名为PowerExchange的PowerShell后门。据Symantec的威胁猎人团队称,他们在一份与The Hacker News分享的报告中提到,他们将这次攻击行动命名为Crambus。这篇文章将为您详细介绍这次网络攻击的细节以及攻击手法与威胁分析。
网络攻击事件详情
根据Symantec的报告,这次网络攻击事件发生在2023年2月至9月期间,目标是一家未透露的中东政府。攻击者通过PowerExchange后门实施了攻击,并成功窃取了文件和密码。此外,他们还在至少12台计算机上发现了恶意活动,另外还在其他12台计算机上安装了后门和键盘记录器。这表明攻击范围广泛,目标遭到了严重的破坏。
攻击手法与威胁分析
这次网络攻击中,攻击者使用了PowerExchange后门,并在其旁边部署了三种以前未被发现的恶意软件。PowerExchange后门允许攻击者监视从Exchange服务器发送的邮件,并通过电子邮件形式执行攻击者发送的命令,并秘密将结果转发给攻击者。此外,攻击者还使用了一种名为’Crambus’的工具,该工具可以执行任意的PowerShell命令、写入文件和窃取文件。
据Fortinet FortiGuard Labs在2023年5月的报告中指出,PowerExchange后门首次被发现时,攻击对象是与阿拉伯联合酋长国有关的政府实体。该后门通过使用硬编码凭据登录到Microsoft Exchange服务器后,监视被感染邮箱接收的邮件,从而使攻击者能够运行任意的负载,以及从感染主机上传和下载文件。
“邮件主题中带有’@@'的邮件包含了攻击者发送的命令,这使得他们能够执行任意的PowerShell命令、写入文件和窃取文件。” Symantec解释道。恶意软件还创建了一个Exchange规则(称为’defaultexchangerules’),以过滤这些邮件并自动将其移动到已删除项目文件夹中。
总结
这次由伊朗相关的OilRig组织发起的网络攻击事件持续了8个月,针对中东地区的一家政府。攻击者使用了PowerExchange后门以及其他三种未知的恶意软件,成功窃取了文件和密码。该组织被称为Crambus,他们在过去两年中的活动表明,他们对中东地区和其他地区的组织构成了持续的威胁。这次攻击事件的发生再次提醒我们,网络安全是一个重要的问题,我们需要时刻保持警惕,并采取适当的安全措施来保护我们的网络和数据安全。
以上就是关于伊朗相关的OilRig组织在为期8个月的网络攻击中针对中东政府的详细报道。希望通过本文的介绍,能够加深大家对网络安全的认识,并提高大家的网络安全意识。谢谢大家的阅读!
获取最新资讯、资源合集。欢迎关注公众号:黑客帮