OilRig, lié à l’Iran, cible les gouvernements du Moyen-Orient dans le cadre d’une campagne cybernétique de huit mois
- , le 21 octobre 2023
- 0 h 37 min
Selon Symantec, l’acteur de la menace OilRig, lié à l’Iran, a ciblé un gouvernement anonyme du Moyen-Orient entre février et septembre 2023 dans le cadre d’une campagne de huit mois.
L’attaque a conduit au vol de fichiers et de mots de passe et, dans un cas, au déploiement d’une porte dérobée PowerShell appelée PowerExchange, a déclaré l’équipe Symantec Threat Hunter dans un rapport partagé avec The Hacker News.
L’entreprise de cybersécurité suit l’activité sous le nom de Crambus, notant que l’adversaire a utilisé l’implant pour « surveiller les courriers entrants envoyés par un serveur Exchange afin d’exécuter les commandes envoyées par les attaquants sous la forme de courriers électroniques, et a subrepticement transmis les résultats aux attaquants ».
Des activités malveillantes auraient été détectées sur pas moins de 12 ordinateurs, avec des portes dérobées et des enregistreurs de frappe installés sur une douzaine d’autres machines, ce qui indique une large compromission de la cible.
L’utilisation de PowerExchange a été mise en évidence pour la première fois par Fortinet FortiGuard Labs en mai 2023. L’implant surveille les courriels entrants dans les boîtes aux lettres compromises après s’être connecté à un serveur Microsoft Exchange à l’aide d’informations d’identification codées en dur, ce qui permet à l’auteur de la menace d’exécuter des charges utiles arbitraires et de télécharger des fichiers à partir de l’hôte infecté ou à destination de celui-ci.
Les courriers reçus avec « @@ » dans l’objet contiennent des commandes envoyées par les attaquants, ce qui leur permet d’exécuter des commandes PowerShell arbitraires, d’écrire des fichiers et de voler des fichiers », a expliqué Symantec. « Le logiciel malveillant crée une règle Exchange (appelée ‘defaultexchangerules’) pour filtrer ces messages et les déplacer automatiquement dans le dossier Éléments supprimés ».
Trois logiciels malveillants qui n’avaient pas encore été découverts ont également été déployés en même temps que PowerExchange.
Bien que le mode exact d’accès initial n’ait pas été divulgué, on soupçonne qu’il s’agit d’un hameçonnage par courrier électronique. L’activité malveillante sur le réseau du gouvernement s’est poursuivie jusqu’au 9 septembre 2023.
« Crambus est un groupe d’espionnage expérimenté de longue date qui possède une grande expertise dans la réalisation de longues campagnes visant des cibles d’intérêt pour l’Iran », a déclaré Symantec. « Ses activités au cours des deux dernières années montrent qu’il représente une menace permanente pour les organisations du Moyen-Orient et d’ailleurs.
