网站建设加盟招商,网站建设吉金手指专业11,站长之家源码之家,中远智达网站建设导语 伊朗相关的OilRig组织最近在中东政府中展开了一场长达8个月的网络攻击行动。这次攻击导致了文件和密码的被窃取#xff0c;并且在其中一次攻击中#xff0c;攻击者还使用了一种名为PowerExchange的PowerShell后门。据Symantec的威胁猎人团队称#xff0c;他们在一份与T… 导语 伊朗相关的OilRig组织最近在中东政府中展开了一场长达8个月的网络攻击行动。这次攻击导致了文件和密码的被窃取并且在其中一次攻击中攻击者还使用了一种名为PowerExchange的PowerShell后门。据Symantec的威胁猎人团队称他们在一份与The Hacker News分享的报告中提到他们将这次攻击行动命名为Crambus。这篇文章将为您详细介绍这次网络攻击的细节以及攻击手法与威胁分析。 网络攻击事件详情 根据Symantec的报告这次网络攻击事件发生在2023年2月至9月期间目标是一家未透露的中东政府。攻击者通过PowerExchange后门实施了攻击并成功窃取了文件和密码。此外他们还在至少12台计算机上发现了恶意活动另外还在其他12台计算机上安装了后门和键盘记录器。这表明攻击范围广泛目标遭到了严重的破坏。 攻击手法与威胁分析 这次网络攻击中攻击者使用了PowerExchange后门并在其旁边部署了三种以前未被发现的恶意软件。PowerExchange后门允许攻击者监视从Exchange服务器发送的邮件并通过电子邮件形式执行攻击者发送的命令并秘密将结果转发给攻击者。此外攻击者还使用了一种名为’Crambus’的工具该工具可以执行任意的PowerShell命令、写入文件和窃取文件。 据Fortinet FortiGuard Labs在2023年5月的报告中指出PowerExchange后门首次被发现时攻击对象是与阿拉伯联合酋长国有关的政府实体。该后门通过使用硬编码凭据登录到Microsoft Exchange服务器后监视被感染邮箱接收的邮件从而使攻击者能够运行任意的负载以及从感染主机上传和下载文件。
“邮件主题中带有’的邮件包含了攻击者发送的命令这使得他们能够执行任意的PowerShell命令、写入文件和窃取文件。” Symantec解释道。恶意软件还创建了一个Exchange规则称为’defaultexchangerules’以过滤这些邮件并自动将其移动到已删除项目文件夹中。 总结 这次由伊朗相关的OilRig组织发起的网络攻击事件持续了8个月针对中东地区的一家政府。攻击者使用了PowerExchange后门以及其他三种未知的恶意软件成功窃取了文件和密码。该组织被称为Crambus他们在过去两年中的活动表明他们对中东地区和其他地区的组织构成了持续的威胁。这次攻击事件的发生再次提醒我们网络安全是一个重要的问题我们需要时刻保持警惕并采取适当的安全措施来保护我们的网络和数据安全。 以上就是关于伊朗相关的OilRig组织在为期8个月的网络攻击中针对中东政府的详细报道。希望通过本文的介绍能够加深大家对网络安全的认识并提高大家的网络安全意识。谢谢大家的阅读 获取最新资讯、资源合集。欢迎关注公众号黑客帮
