هکرهای ایرانی OilRig به مدت ۸ ماه در کمین یک شبکه دولتی خاورمیانه بودند

عامل تهدید ایرانی موسوم به OilRig (APT34)، حداقل به دوازده رایانه متعلق به یک شبکه دولتی خاورمیانه نفوذ کرده و به مدت هشت ماه بین فوریه تا سپتامبر ۲۰۲۳ به آنها دسترسی داشته است.OilRig  که به دلیل شُمار زیاد حملات آن علیه ایالات متحده، خاورمیانه و آلبانی شهرت یافته است با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط می‌باشد.

مطابق با اظهارات سیمانتک (گزارش نوزدهم اکتبر ۲۰۲۳)، این حملات منجر به سرقت فایل ها، گذرواژه ‌ها و همچنین استقرار یک بکدور PowerShell به نام PowerExchange شده است. PowerExchange برای اولین بار در مِی ۲۰۲۳ در گزارش Fortinet مستند گردید که بکدور را به علت نمونه‌هایی که از سیستم‌های هک شده یک سازمان دولتی در امارات متحده عربی بازیابی شده بودند، به APT34 نسبت داد.

در حملات مشاهده شده توسط سیمانتک، بدافزار با استفاده از گواهی های اعتبار ارائه شده به یک سرور Exchange، وارد شبکه می‌شود و ایمیل های دریافتی را برای “@@” در قسمت موضوع یا همان subject  نظارت می‌کند که نشان می‌دهد ایمیل، حاوی یک پیوست کدگذاری شده با base64 به همراه دستوراتی برای اجرا است.

بدافزار پس از اجرای دستورات دلخواه PowerShell که معمولاً مربوط به عملیات نوشتن یا حذف فایل می‌باشند، پیام ها را به ” Deleted Items ” یا همان “آیتم های حذف شده” منتقل می‌کند تا احتمال شناسایی را به حداقل برساند. خروجی دستورات اجرا شده به عوامل تهدید بازگردانده خواهد شد.

سرور Exchange  به عنوان یک بکدور در این حملات، فعالیت‌های APT34 را قادر می‌سازد تا با ترافیک متداول شبکه ترکیب گردد و تعداد ایمپلنت‌های معرفی ‌شده را به حداقل برساند. سایر ابزارهای مورد استفاده توسط APT34 در کمپین اخیر عبارتند از:

• Tokel: دستورات PowerShell را اجرا و فایل ها را دانلود می کند.
• Dirps: فایل ها را شمارش و دستورات PowerShell را اجرا می کند.
• Clipog: داده‌های کلیپ‌بورد را ربوده و کلیدهای فشرده شده کیبرد را ثبت و ذخیره می‌کند.
• Mimikatz: یک نسخه از گواهی های اعتبار را استخراج می‌کند.
• Plink: ابزار خط فرمان برای کلاینت PuTTY SSH.

این حمله، حدود ۸ ماه به طول انجامید. حملات مشاهده شده توسط سیمانتک در یکم فوریه ۲۰۲۳ آغاز گردید و از مجموعه گسترده‌ای از بدافزارها، ابزارها و فعالیت های مخرب استفاده کرده است. این حمله با معرفی یک اسکریپت PowerShell (joper.ps1)، که چندین بار در اولین هفته اجرا شده، آغاز گشته است.

مهاجمان در پنجم فوریه، به رایانه دوم در شبکه نفوذ کردند و از یک نسخه مخفی شده Plink (‘mssh.exe’) برای پیکربندی دسترسی RDP استفاده نمودند. اجرای دستور ” netstat /an ” نیز در بیست و یکم فوریه، در یک وب سرور مشاهده شد.

OilRigs در ماه آوریل نیز به دو سیستم دیگر نفوذ کرد و با اجرای فایل‌های batch  (p2.bat) و Mimikatz، گواهی های اعتبار سیستم ها را استخراج  نمود. مهاجمان در ماه ژوئن، Backdoor.Tokel و PowerExchange را بر روی ماشین‌های مورد نفوذ اجرا کردند که به معنای آغاز مرحله اصلی حمله بود و در ماه بعد، TrojanDirps و Infostealer.Clipog را مستقر و تونل های SSH را توسط Plink راه اندازی کردند.

مهاجمان در ماه آگوست، اسکن Nessus را برای آسیب  ‌پذیری‌ های Log4j اجرا نموده و در پایان ماه نیز به سرور وب ثانویه نفوذ و Infostealer.Clipog را بر روی آن نصب کردند.

حملات در یکم سپتامبر، سه کامپیوتر دیگر را نیز درگیر کردند و از certutil برای دانلود Plink روی آنها و اجرای دستورات Wireshark بر روی وب سرور دوم به منظور ضبط پکیج های ترافیک شبکه و USB استفاده گردید. دو رایانه دیگر نیز در پنجم سپتامبر مورد نفوذ قرار گرفتند و ایمپلنت Backdoor.Token بر روی آنها اجرا شد. فعالیت ها بر روی سرور وب دوم تا نهم سپتامبر ۲۰۲۳ ادامه یافت و مهاجمان یک اسکریپت ناشناخته PowerShell (‘joper.ps1’) را اجرا و فولدر share  شبکه را mount/unmount کردند.

اگرچه سیمانتک مدعی است که این فعالیت های مخرب را در حداقل ۱۲ رایانه در شبکه قربانی مشاهده کرده است، اما آنها شواهدی دارند که نشان می دهد بکدورها و کیلاگرها در ده ها رایانه دیگر نیز مستقر شده‌اند.

به طور خلاصه، OilRigs از ترکیبی از ابزارها، اسکریپت ها و تکنیک ها برای گسترش و حفظ دسترسی در چندین سیستم در یک شبکه تحت نفوذ استفاده کرده است. فعالیت های آنها ترکیبی از شناسایی (به عنوان مثال، دستورات netstat)، حرکت جانبی (به عنوان مثال، Plink برای RDP) و استخراج داده ها (به عنوان مثال، Mimikatz، Infostealer.Clipog) می‌باشد که قابلیت های گسترده گروه تهدید را برجسته می‌کند.

منابع