De aan Iran gelieerde olieplatform-dreigingsacteur richtte zich tussen februari en september 2023 op een niet bij naam genoemde regering van het Midden-Oosten als onderdeel van een acht maanden durende campagne.
De aanval leidde tot de diefstal van bestanden en wachtwoorden en resulteerde in één geval in de inzet van een PowerShell-achterdeur genaamd PowerExchange, aldus het Symantec Threat Hunter Team, onderdeel van Broadcom, in een rapport gedeeld met The Hacker News.
Het cyberbeveiligingsbedrijf volgt de activiteit onder de naam Krambuswaarbij hij opmerkte dat de tegenstander het implantaat gebruikte om “inkomende e-mails te monitoren die vanaf een Exchange Server in
om commando’s uit te voeren die door de aanvallers in de vorm van e-mails zijn verzonden, en heimelijk de resultaten door te sturen naar de aanvallers.”
Er wordt gezegd dat er kwaadaardige activiteit is gedetecteerd op niet minder dan twaalf computers, terwijl backdoors en keyloggers op een tiental andere machines zijn geïnstalleerd, wat wijst op een brede inbreuk op het doelwit.
Het gebruik van PowerExchange werd voor het eerst onder de aandacht gebracht door Fortinet FortiGuard Labs in mei 2023, waarbij een aanvalsketen werd gedocumenteerd die gericht was op een overheidsinstantie die banden heeft met de Verenigde Arabische Emiraten.
Het implantaat, dat inkomende e-mails naar gecompromitteerde mailboxen monitort na het inloggen op een Microsoft Exchange Server met hardgecodeerde inloggegevens, stelt de bedreigingsacteur in staat willekeurige payloads uit te voeren en bestanden van en naar de geïnfecteerde host te uploaden en downloaden.
“E-mails die worden ontvangen met ‘@@’ in het onderwerp bevatten opdrachten die door de aanvallers zijn verzonden, waardoor ze willekeurige PowerShell-opdrachten kunnen uitvoeren, bestanden kunnen schrijven en bestanden kunnen stelen”, legt het bedrijf uit. De malware maakt een Exchange-regel (defaultexchangerules genoemd) om deze berichten te filteren en ze automatisch naar de map Verwijderde items te verplaatsen.”
Naast PowerExchange werden ook drie voorheen onontdekte malware-items ingezet, die hieronder worden beschreven:
- Tokeleen achterdeur om willekeurige PowerShell-opdrachten uit te voeren en bestanden te downloaden
- Dirpseen trojan die bestanden in een map kan opsommen en PowerShell-opdrachten kan uitvoeren, en
- Clipogeen informatiedief die is ontworpen om klembordgegevens en toetsaanslagen te verzamelen
Hoewel de exacte wijze van initiële toegang niet is bekendgemaakt, wordt vermoed dat er sprake is van e-mailphishing. Kwaadwillige activiteiten op het overheidsnetwerk gingen door tot 9 september 2023.
“Crambus is een langlopende en ervaren spionagegroep die uitgebreide expertise heeft in het uitvoeren van lange campagnes gericht op doelen die van belang zijn voor Iran”, aldus Symantec. “De activiteiten van de afgelopen twee jaar laten zien dat het een voortdurende bedreiging vormt voor organisaties in het Midden-Oosten en daarbuiten.”
