Hacker Iran ẩn náu trong mạng lưới chính phủ Trung Đông suốt 8 tháng

Nhóm hacker Iran được theo dõi với tên OilRig (APT34) đã xâm nhập ít nhất 12 máy tính thuộc mạng của chính phủ Trung Đông và duy trì quyền truy cập trong 8 tháng, từ tháng 2 đến tháng 9/2023.

OilRig liên quan đến Bộ Tình báo và An ninh (MOIS) của Iran, được biết đến với các cuộc tấn công nhắm vào Mỹ, Trung Đông và Albania.

Trong chiến dịch lần này, nhóm hacker đã đánh cắp mật khẩu và dữ liệu, cũng như cài đặt backdoor PowerShell có tên là ‘PowerExchange’ để nhận các lệnh thực thi thông qua Microsoft Exchange.

PowerExchange lần đầu được ghi nhận vào tháng 5/2023. Trong các cuộc tấn công mà Symantec phát hiện, mã độc đăng nhập vào Exchange Server và giám sát các email đến để tìm “@@” trong dòng chủ đề, chỉ dấu cho thấy email chứa tệp đính kèm được mã hóa base64 cùng với các lệnh để thực thi.

Sau khi thực thi các lệnh, thường liên quan đến hành động ghi hoặc trích xuất tệp, mã độc sẽ chuyển các thông báo đến ‘Các mục đã xóa’ để giảm thiểu khả năng bị phát hiện.

Output của các lệnh được thực thi sau đó sẽ được gửi lại qua email cho hacker.

Các cuộc tấn công mà Symantec theo dõi bắt đầu từ 1/2/2023 với nhiều loại mã độc, công cụ và hoạt động độc hại kéo dài trong 8 tháng.

Mặc dù Symantec cho biết họ đã phát hiện hoạt động độc hại trên ít nhất 12 máy tính trên mạng của nạn nhân nhưng họ có bằng chứng cho thấy các backdoor và keylogger đã được triển khai trên hàng chục máy tính khác nữa.

Nguồn: Bleeping Computer