Crambus’un aralarında Türkiye’nin de bulunduğu Suudi Arabistan, İsrail, Birleşik Arap Emirlikleri, Irak, Ürdün, Lübnan, Kuveyt, Katar, Arnavutluk gibi ülkelerde operasyonlar gerçekleştirdiği biliniyor.
İran bağlantılı saldırganlar, sekiz ay boyunca birçok bilgisayar ve sunucuyu ele geçirdi. Crambus casusluk grubu (aka OilRig, MuddyWater, APT34), 2023 yılında Şubat ve Eylül ayları arasında Ortadoğu’daki bir ülkeye karşı sekiz aylık bir sızma gerçekleştirdi. Saldırganlar, dosyaları ve şifreleri çaldı. Saldırganlar aynı zamanda PowerExchange isimli bir backdoor sayesinde saldırganların e-postalar şeklinde gönderdiği komutları çalıştırmak için gelen postaları izleyebiliyor. Ayrıca, saldırganlar, uzaktan erişimi etkinleştirmek amacıyla port yönlendirme kurallarını yapılandırmak için Plink adlı genel ağ yönetim aracını kullandığı da görülüyor.
Kullanılan Araçlar
Bu son saldırı sırasında, Crambus, PowerExchange arka kapısı ile birlikte üç daha önce keşfedilmemiş zararlı yazılımı kullanmıştır. Zararlı yazılımların yanı sıra, saldırganlar birkaç ‘alandan toplama’ ve meşru araçlardan faydalanmışlardır.
- Tokel: Keyfi PowerShell komutlarını çalıştırabilme ve dosyaları indirebilme yeteneğine sahiptir. Komut ve kontrol (C&C) adresi, token.bin adlı ayrı bir dosyada RC4 ile şifrelenmiş şekilde saklanır ve çalışma dizininde kaydedilir.
- Dirps: Bir dizindeki tüm dosyaları listeler ve PowerShell komutlarını çalıştırır.
- Clipog: Panoyu kopyalama, tuş vuruşlarını yakalama ve tuş vuruşlarının girildiği süreçleri kaydetme yeteneğine sahip bilgi hırsızı zararlı yazılımdır. – aka Keylogger
- PowerExchange: Sabit kodlu kimlik bilgileri ile bir Exchange Server’a giriş yapabilen ve saldırganlar tarafından gönderilen e-postaları izleyebilen PowerShell tabanlı bir zararlı yazılımdır. Bir Exchange Server’ı bir C&C olarak kullanır. Konu kısmında “@@” içeren postalar, saldırganlar tarafından gönderilen komutları içerir ve bu, onlara keyfi PowerShell komutları çalıştırma, dosyaları yazma ve dosyaları çalma olanağı tanır. Zararlı yazılım, bu mesajları filtrelemek ve otomatik olarak Silinmiş Öğeler klasörüne taşımak için bir Exchange kuralı (‘defaultexchangerules’ adında) oluşturur.
- Mimikatz: Kimlik bilgisi döküm aracı.
- Plink: PuTTY SSH istemcisi için bir komut satırı bağlantı aracı.