O grupo de hackers Crambos, ligado ao Irã, passou oito meses dentro de uma rede comprometida de um governo do Oriente Médio, informou a unidade de segurança cibernética Symantec da Broadcom.
A Symantec usa o nome Crambus para grupos de atividades que outras empresas de segurança cibernética estão rastreando como APT34 (também conhecido como Cobalt Gypsy, OilRig e Helix Kitten) e MuddyWater (também conhecido como Mango Sandstorm, Mercury, Seedworm e Static Kitten).
Tanto o APT34 como a MuddyWater envolvem-se em operações de espionagem para apoiar os objectivos do governo iraniano, e a MuddyWater foi anteriormente ligada pelo Comando Cibernético dos EUA à inteligência iraniana.
Como parte de um ataque recentemente identificadoCrambus espreitou entre fevereiro e setembro de 2023 na rede comprometida do governo de um país do Oriente Médio, roubando dados e credenciais e implantando malware em vários sistemas.
O ataque começou em 1º de fevereiro com a execução de um script do PowerShell em um único sistema. A atividade maliciosa começou em um segundo sistema comprometido alguns dias depois e em um servidor web no final de fevereiro. Em abril, os invasores começaram a executar comandos em um controlador de domínio.
Embora a atividade maliciosa tenha sido observada apenas nesses sistemas até agosto, um segundo servidor web e sistemas adicionais foram comprometidos no final de agosto e em setembro.
“Ocorreram atividades maliciosas em pelo menos 12 computadores e há evidências de que os invasores implantaram backdoors e keyloggers em dezenas de outros”, afirma a Symantec.
Como parte do ataque, Crambus instalou um backdoor do PowerShell chamado PowerExchange, que pode acessar servidores Microsoft Exchange usando credenciais codificadas para monitorar e-mails enviados pelos invasores e executar comandos do PowerShell, gravar arquivos e roubar arquivos.
Ademais, os invasores usaram a ferramenta de administração de rede Plink para definir regras de encaminhamento de porta e permitir o acesso por meio do Remote Desktop Protocol (RDP) e modificaram regras de firewall para garantir o acesso remoto.
Além do backdoor do PowerExchange, Crambus foi visto implantando três novas famílias de malware, a saber, o backdoor Tokel (para execução de comandos do PowerShell e download de arquivos), o trojan Dirps (execução de comandos do PowerShell e enumeração de arquivos) e o infostealer Clipog (roubo de dados da área de transferência). , keylogging e registro de processos onde as teclas digitadas são inseridas).