Οι Ιρανοί κρατικοί hackers OilRig στοχεύουν τώρα δίκτυα της κυβέρνησης του Ιράκ. Μερικοί από τους στόχους είναι το Γραφείο του Πρωθυπουργού και το Υπουργείο Εξωτερικών, σύμφωνα με την εταιρεία κυβερνοασφάλειας Check Point.

Οι hackers OilRig, που είναι γνωστοί και ως APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (πρώην EUROPIUM) και Helix Kitten, έχουν συνδεθεί με το ιρανικό Υπουργείο Πληροφοριών και Ασφάλειας (MOIS).

Οι hackers είναι ενεργοί τουλάχιστον από το 2014 και έχουν πραγματοποιήσει πολλές phishing επιθέσεις στη Μέση Ανατολή για να παραδώσουν διάφορα custom backdoors, συμπεριλαμβανομένων των Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango και Menorah. Στόχος είναι, συνήθως, η κλοπή πληροφοριών.

Δείτε επίσης: Οι Ιρανοί hackers Pioneer Kitten συνεργάζονται με ransomware ομάδες

Ωστόσο, στην πιο πρόσφατη επίθεση των hackers OilRig εναντίον της κυβέρνησης του Ιράκ, χρησιμοποιούνται νέα malware, που ονομάζονται Veaty και Spearal. Αυτά τα κακόβουλα λογισμικά διαθέτουν δυνατότητες εκτέλεσης εντολών PowerShell και συλλογής αρχείων.

Το σύνολο εργαλείων που χρησιμοποιείται σε αυτήν τη στοχευμένη καμπάνια χρησιμοποιεί μοναδικούς μηχανισμούς εντολών και ελέγχου (C2), συμπεριλαμβανομένου ενός custom DNS tunneling πρωτοκόλλου και ενός εξατομικευμένου καναλιού C2 που βασίζεται σε email“, δήλωσε η Check Point.

Το κανάλι C2 χρησιμοποιεί παραβιασμένους λογαριασμούς email εντός του στοχευόμενου οργανισμού, υποδεικνύοντας ότι οι επιτιθέμενοι διείσδυσαν με επιτυχία στα δίκτυα του θύματος“, συνεχίζει η εταιρεία.

Αρκετές από τις ενέργειες των hackers, σε αυτές τις επιθέσεις, είναι συνεπείς με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που έχουν χρησιμοποιήσει οι Ιρανοί hackers OilRig σε παρελθοντικές επιθέσεις (π.χ. χρήση καναλιών C2 που βασίζονται σε email).

Πώς λειτουργούν οι επιθέσεις ;

Η επίθεση ξεκινά μέσω παραπλανητικών αρχείων που μεταμφιέζονται σε νόμιμα έγγραφα (“Avamer.pdf.exe” ή “IraqiDoc.docx.rar”). Το άνοιγμά τους ανοίγει το δρόμο για την ανάπτυξη των Veaty και Spearal malware. Οι ερευνητές λένε ότι χρησιμοποιήθηκαν και τεχνικές social engineering.

Τα αρχεία ξεκινούν την εκτέλεση ενδιάμεσων PowerShell ή Pyinstaller scripts που, με τη σειρά τους, εγκαθιστούν τα malware και τα αρχεία διαμόρφωσής τους, τα οποία περιλαμβάνουν πληροφορίες σχετικά με τον διακομιστή C2.

Δείτε επίσης: Οι Ιρανοί hackers APT33 στοχεύουν κυβερνήσεις με το Tickler malware

Το κακόβουλο λογισμικό Spearal είναι ένα .NET backdoor που χρησιμοποιεί DNS tunneling για επικοινωνία [C2]“, δήλωσε η Check Point. “Τα δεδομένα που μεταφέρονται μεταξύ του κακόβουλου λογισμικού και του διακομιστή C2 κωδικοποιούνται σε subdomains των DNS queries χρησιμοποιώντας ένα custom Base32 scheme

“.

Το Spearal έχει σχεδιαστεί για να εκτελεί εντολές PowerShell, να διαβάζει τα περιεχόμενα του αρχείου και να τα στέλνει με τη μορφή κωδικοποιημένων δεδομένων. Μπορεί, ακόμα, να ανακτά δεδομένα από τον διακομιστή C2.

Το Veaty, από την άλλη μεριά, αξιοποιεί emails για επικοινωνίες C2 με τελικό στόχο τη λήψη αρχείων και την εκτέλεση εντολών μέσω συγκεκριμένων mailboxes στο gov-iq.net domain. Οι εντολές του επιτρέπουν να ανεβάζει/κατεβάζει αρχεία και να εκτελεί PowerShell scripts.

Η Check Point είπε ότι η ανάλυσή της για την υποδομή των hackers οδήγησε στην ανακάλυψη ενός διαφορετικού αρχείου διαμόρφωσης XML που πιθανότατα σχετίζεται με ένα τρίτο SSH tunneling backdoor. Επιπλέον, εντοπίστηκε ένα HTTP-based backdoor, το CacheHttp.dll, που στοχεύει Internet Information Services (IIS) servers της Microsoft που εκτελούν εντολές.

“Αυτή η εκστρατεία κατά της ιρακινής κυβερνητικής υποδομής υπογραμμίζει τις συνεχείς και εστιασμένες προσπάθειες των Ιρανών hackers, που δραστηριοποιούνται στην περιοχή“, ανέφερε η εταιρεία.

Αυτή η πρόσφατη κυβερνοεπίθεση στα δίκτυα της κυβέρνησης του Ιράκ, από τους Ιρανούς hackers OilRig, χρησιμεύει ως ένα κάλεσμα αφύπνισης για τις κυβερνήσεις ώστε να λάβουν προληπτικά μέτρα κατά των απειλών στον κυβερνοχώρο. Επενδύοντας σε ενισχυμένα μέτρα κυβερνοασφάλειας και ενισχύοντας τη διεθνή συνεργασία, μπορούμε να προστατεύσουμε καλύτερα τα ψηφιακά μας assets από αυτούς τους κακόβουλους παράγοντες.

Δείτε επίσης: Ιρανοί hackers στοχεύουν Αλβανία και Ισραήλ με wiping επιθέσεις

Οι κρατικές επιθέσεις στον κυβερνοχώρο δεν περιορίζονται από γεωγραφικά όρια, καθιστώντας τη διεθνή συνεργασία ζωτικής σημασίας για την καταπολέμησή τους. Οι κυβερνήσεις πρέπει να συνεργαστούν για να μοιραστούν πληροφορίες για τις απειλές και να συνεργαστούν σε στρατηγικές ασφάλειας.

Καθώς το τοπίο απειλών συνεχίζει να εξελίσσεται, είναι σημαντικό να παραμείνουμε σε επαγρύπνηση και να προσαρμόσουμε ανάλογα τα μέτρα ασφαλείας για να παραμείνουμε ένα βήμα μπροστά από αυτές τις επιθέσεις. 

Πηγή: thehackernews.com