L’acteur menaçant OilRig, lié à l’Iran, a ciblé un gouvernement anonyme du Moyen-Orient entre février et septembre 2023 dans le cadre d’une campagne de huit mois.
L’attaque a conduit au vol de fichiers et de mots de passe et, dans un cas, a abouti au déploiement d’une porte dérobée PowerShell appelée PowerExchange, l’équipe Symantec Threat Hunter, qui fait partie de Broadcom, dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité suit l’activité sous le nom Crambusnotant que l’adversaire a utilisé l’implant pour « surveiller les courriers entrants envoyés depuis un serveur Exchange dans
afin d’exécuter les commandes envoyées par les attaquants sous forme d’e-mails et de transmettre subrepticement les résultats aux attaquants.
Des activités malveillantes auraient été détectées sur pas moins de 12 ordinateurs, avec des portes dérobées et des enregistreurs de frappe installés sur une douzaine d’autres machines, indiquant une large compromission de la cible.
L’utilisation de PowerExchange a été soulignée pour la première fois par Fortinet FortiGuard Labs en mai 2023, documentant une chaîne d’attaque ciblant une entité gouvernementale associée aux Émirats arabes unis.
L’implant, qui surveille les e-mails entrants dans les boîtes aux lettres compromises après s’être connecté à un serveur Microsoft Exchange avec des informations d’identification codées en dur, permet à l’acteur malveillant d’exécuter des charges utiles arbitraires et de télécharger des fichiers depuis et vers l’hôte infecté.
« Les e-mails reçus avec ‘@@’ dans le sujet contiennent des commandes envoyées par les attaquants, ce qui leur permet d’exécuter des commandes PowerShell arbitraires, d’écrire des fichiers et de voler des fichiers », a expliqué la société. Le malware crée une règle Exchange (appelée « defaultexchangerules ») pour filtrer ces messages et les déplacer automatiquement vers le dossier Éléments supprimés.
Trois logiciels malveillants jusqu’alors inconnus ont également été déployés parallèlement à PowerExchange, décrits ci-dessous :
- Tokelune porte dérobée pour exécuter des commandes PowerShell arbitraires et télécharger des fichiers
- Dirpsun cheval de Troie capable d’énumérer les fichiers dans un répertoire et d’exécuter des commandes PowerShell, et
- Clipogun voleur d’informations conçu pour récolter les données du presse-papiers et les frappes au clavier
Bien que le mode exact d’accès initial n’ait pas été divulgué, il est soupçonné d’avoir impliqué du phishing par courrier électronique. Les activités malveillantes sur le réseau gouvernemental se sont poursuivies jusqu’au 9 septembre 2023.
« Crambus est un groupe d’espionnage expérimenté et de longue date qui possède une vaste expertise dans la conduite de longues campagnes visant des cibles intéressant l’Iran », a déclaré Symantec. « Ses activités au cours des deux dernières années démontrent qu’elle représente une menace permanente pour les organisations au Moyen-Orient et au-delà. »