ΑρχικήSecurityΟι Ιρανοί hackers OilRig έμειναν για 8 μήνες σε κυβερνητικό δίκτυο της...

Οι Ιρανοί hackers OilRig έμειναν για 8 μήνες σε κυβερνητικό δίκτυο της Μέσης Ανατολής

Οι Ιρανοί hackers OilRig (γνωστοί και ως APT34) φαίνεται πως παραβίασαν τουλάχιστον δώδεκα υπολογιστές, που ανήκαν σε κυβερνητικό δίκτυο της Μέσης Ανατολής, και διατήρησαν την πρόσβαση για οκτώ μήνες (μεταξύ Φεβρουαρίου και Σεπτεμβρίου 2023).

Ιρανοί hackers OilRig APT34

Η ομάδα OilRig συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS), και έχει συσχετιστεί με κυβερνοεπιθέσεις κατά των ΗΠΑ, της Μέσης Ανατολής και της Αλβανίας.

Επιθέσεις που παρατηρήθηκαν από ερευνητές της Symantec, μέρος της Broadcom, χρησιμοποιήθηκαν για την κλοπή κωδικών πρόσβασης και δεδομένων, καθώς και για την εγκατάσταση ενός PowerShell backdoor με την ονομασία “‘PowerExchange“.

Το PowerExchange τεκμηριώθηκε για πρώτη φορά τον Μάιο του 2023 σε μια αναφορά της Fortinet. Η εταιρεία είχε αποδώσει το backdoor στην APT34. Τα δείγματα ανακτήθηκαν από παραβιασμένα συστήματα κυβερνητικού οργανισμού στα Ηνωμένα Αραβικά Εμιράτα.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 16 Σεπτεμβρίου 2024, 22:01 22:01

Δείτε επίσης: Οι hackers Lazarus στοχεύουν χρήστες με ψεύτικες συνεντεύξεις μέσω trojanized VNC apps

Στις επιθέσεις που παρατήρησε η Symantec, το κακόβουλο λογισμικό συνδέεται σε έναν Exchange Server χρησιμοποιώντας τα παρεχόμενα credentials και παρακολουθεί τα εισερχόμενα email για το “@@” στη γραμμή θέματος, κάτι που υποδεικνύει ότι το email περιέχει ένα συνημμένο με κωδικοποίηση base64, με εντολές για εκτέλεση.

Μετά την εκτέλεση των αυθαίρετων εντολών PowerShell, που συνήθως αφορούν ενέργειες εγγραφής ή εξαγωγής αρχείων, το κακόβουλο λογισμικό μετακινεί τα μηνύματα στα “Διαγραμμένα στοιχεία” για να ελαχιστοποιήσει την πιθανότητα εντοπισμού.

Το output των εκτελεσμένων εντολών αποστέλλεται στη συνέχεια με email στους επιτιθέμενους.

Το Exchange σε αυτές τις επιθέσεις επιτρέπει στους Ιρανούς hackers OilRig να συνδυάζουν τις δραστηριότητές τους με την τυπική κίνηση δικτύου.

Σύμφωνα με τους ερευνητές, η hacking ομάδα χρησιμοποιεί και άλλα εργαλεία σε αυτή την πρόσφατη επίθεση:

  • Backdoor.Tokel: Εκτελεί εντολές PowerShell και κατεβάζει αρχεία.
  • Mimikatz: Κλέβει credentials.
  • Trojan.Dirps: Αριθμεί αρχεία και εκτελεί εντολές PowerShell.
  • Infostealer.Clipog: Κλέβει δεδομένα του προχείρου και καταγράφει πληκτρολογήσεις.
  • Plink: Command-line tool για PuTTY SSH client.

Η επίθεση της OilRig στο κυβερνητικό δίκτυο της Μέσης Ανατολής διήρκεσε 8 μήνες

Οι επιθέσεις που παρατηρήθηκαν από τη Symantec ξεκίνησαν την 1η Φεβρουαρίου 2023 και χρησιμοποίησαν διάφορα εργαλεία και κακόβουλα λογισμικά.

Η επίθεση ξεκίνησε με την εισαγωγή ενός PowerShell script (joper.ps1), το οποίο εκτελέστηκε πολλές φορές την πρώτη εβδομάδα.

Δείτε επίσης: Οι Lazarus και Andariel hackers εκμεταλλεύονται TeamCity bug για παραβιάσεις δικτύων

Στις 5 Φεβρουαρίου, οι εισβολείς παραβίασαν έναν δεύτερο υπολογιστή στο δίκτυο και χρησιμοποίησαν μια μεταμφιεσμένη έκδοση του Plink (‘mssh.exe’) για να ρυθμίσουν την πρόσβαση RDP. Προς τα τέλη Φεβρουαρίου, εντοπίστηκε η εκτέλεση της εντολής ‘netstat /an‘ σε έναν web server.

Δύο μήνες μετά, τον Απρίλιο, η OilRig παραβίασε δύο ακόμη συστήματα, εκτελώντας άγνωστα batch files (“p2.bat“) και αναπτύσσοντας το Mimikatz για την κλοπή credentials.

Τον Ιούνιο, οι hackers εκτέλεσαν το Backdoor.Tokel και το PowerExchange στα μηχανήματα που είχαν παραβιαστεί. Κάπως έτσι ξεκίνησε η κύρια φάση της επίθεσης.

Τον Ιούλιο, οι επιτιθέμενοι ανέπτυξαν τα TrojanDirps και Infostealer.Clipog και δημιούργησαν SSH tunnels με το Plink.

Τον Αύγουστο, οι hackers πραγματοποίησαν σαρώσεις Nessus για ευπάθειες Log4j και μέχρι το τέλος του μήνα, παραβίασαν έναν δεύτερο web server, εγκαθιστώντας το Infostealer.Clipog.

Το Σεπτέμβριο, παραβιάστηκαν τρεις ακόμη υπολογιστές, χρησιμοποιώντας το certutil για τη λήψη του Plink σε αυτούς και έγινε εκτέλεση εντολών Wireshark στον δεύτερο webserver για την καταγραφή USB traffic packets. Δύο ακόμη υπολογιστές παραβιάστηκαν στις 5 Σεπτεμβρίου, εκτελώντας το Backdoor.Token implant σε αυτούς. Η δραστηριότητα στον δεύτερο web server συνεχίστηκε μέχρι τις 9 Σεπτεμβρίου.

Σύμφωνα με τους ερευνητές της Symantec, παρατηρήθηκε κακόβουλη δραστηριότητα σε τουλάχιστον 12 υπολογιστές στο δίκτυο του θύματος, αλλά υπάρχουν ενδείξεις ότι τα backdoors και τα keylogger είχαν αναπτυχθεί σε δεκάδες άλλους.

Όπως φαίνεται και από την πρόσφατη αυτή επίθεση, οι Ιρανοί hackers OilRig χρησιμοποιούν έναν συνδυασμό εργαλείων, scripts, malware και τεχνικών για να επεκτείνουν και να διατηρήσουν την πρόσβασή τους σε ένα παραβιασμένο δίκτυο.

Δείτε επίσης: Οι Ρώσοι hackers “Sandworm” παραβίασαν 11 παρόχους τηλεπικοινωνιών στην Ουκρανία

Η Symantec καταλήγει στο συμπέρασμα ότι παρά το γεγονός ότι η OilRig αντιμετώπισε μια υπαρξιακή απειλή το 2019, όταν διέρρευσε το σύνολο εργαλείων της, τώρα είναι πιο δυνατή από ποτέ.

Κυβερνοεπιθέσεις

Στην εποχή της τεχνολογίας, η ασφάλεια στον κυβερνοχώρο έχει καταστεί αναπόσπαστο στοιχείο της καθημερινότητας μας. Οι κυβερνοεπιθέσεις πολλαπλασιάζονται γεωμετρικά και η προστασία από αυτές γίνεται επιτακτική ανάγκη. 

Οι κυβερνοαπειλές αυξάνονται σε συχνότητα και πολυπλοκότητα, δημιουργώντας ένα περιβάλλον γεμάτο προκλήσεις για όσους επιχειρούν να τις αντιμετωπίσουν. Η προστασία των συστημάτων και των δεδομένων από τις υφιστάμενες και τις νέες απειλές απαιτεί τη συνεχή ενημέρωση των αμυντικών στρατηγικών και των τεχνολογικών μέσων.

Η καταστροφή που μπορεί να προκαλέσει μια επιτυχημένη κυβερνοεπίθεση σε έναν οργανισμό μπορεί να είναι ολέθρια, με συνέπειες που μπορούν να εκτείνονται στη φήμη, την οικονομική σταθερότητα, και ασφαλώς, την εμπιστοσύνη των πελατών προς αυτήν. 

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS