El actor de amenazas OilRig vinculado a Irán apuntó a un gobierno anónimo de Medio Oriente entre febrero y septiembre de 2023 como parte de una campaña de ocho meses.
El ataque provocó el robo de archivos y contraseñas y, en un caso, dio lugar a la implementación de una puerta trasera de PowerShell llamada PowerExchange, el equipo Symantec Threat Hunter, parte de Broadcom, dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad está rastreando la actividad bajo el nombre Crambusseñalando que el adversario utilizó el implante para «monitorear los correos entrantes enviados desde un servidor Exchange en
para ejecutar comandos enviados por los atacantes en forma de correos electrónicos, y subrepticiamente reenvió los resultados a los atacantes».
Se dice que se detectó actividad maliciosa en no menos de 12 computadoras, con puertas traseras y registradores de pulsaciones instalados en una docena de otras máquinas, lo que indica un amplio compromiso del objetivo.
El uso de PowerExchange fue destacado por primera vez por Fortinet FortiGuard Labs en mayo de 2023, al documentar una cadena de ataques dirigida a una entidad gubernamental asociada con los Emiratos Árabes Unidos.
El implante, que monitorea los correos electrónicos entrantes a buzones de correo comprometidos después de iniciar sesión en un servidor Microsoft Exchange con credenciales codificadas, permite al actor de amenazas ejecutar cargas útiles arbitrarias y cargar y descargar archivos desde y hacia el host infectado.
«Los correos recibidos con ‘@@’ en el asunto contienen comandos enviados por los atacantes, lo que les permite ejecutar comandos arbitrarios de PowerShell, escribir archivos y robar archivos», explicó la compañía. El malware crea una regla de Exchange (llamada ‘defaultexchangerules’) para filtrar estos mensajes y moverlos a la carpeta Elementos eliminados automáticamente».
También se implementaron junto con PowerExchange tres piezas de malware no descubiertas anteriormente, que se describen a continuación:
- tokeluna puerta trasera para ejecutar comandos arbitrarios de PowerShell y descargar archivos
- Dipsun troyano capaz de enumerar archivos en un directorio y ejecutar comandos de PowerShell, y
- Clipogun ladrón de información diseñado para recopilar datos del portapapeles y pulsaciones de teclas
Si bien no se reveló el modo exacto de acceso inicial, se sospecha que involucró phishing por correo electrónico. La actividad maliciosa en la red gubernamental continuó hasta el 9 de septiembre de 2023.
«Crambus es un grupo de espionaje experimentado y de larga trayectoria que tiene una amplia experiencia en la realización de largas campañas dirigidas a objetivos de interés para Irán», dijo Symantec. «Sus actividades durante los últimos dos años demuestran que representa una amenaza continua para las organizaciones en Medio Oriente y más allá».