APT34 Menggunakan Microsoft Exchange Server Untuk Mengirim Email Commands untuk Sebagai Backdoor Bagi Malware

APT34 Menggunakan Microsoft Exchange Server Untuk Mengirim Email Commands untuk Sebagai Backdoor Bagi Malware

Posted by : Admin , Nov 02, 2023
Kelompok ancaman siber yang didukung oleh pemerintah Iran melancarkan kampanye mata-mata selama delapan bulan terhadap pemerintahan di Timur Tengah, dengan mengakses puluhan komputer antara Februari dan September. Kelompok ini dikenal dengan berbagai nama seperti Crambus, APT34, OilRig, atau Helix Kitten, dan mereka memanfaatkan alat-alat yang tersedia secara publik dan tiga jenis malware yang sebelumnya belum terdeteksi untuk mengakses sistem, menjaga
ketahanan, dan mencuri data. Para peneliti keamanan dari Symantec mencatat bahwa para penyerang mencuri file dan kata sandi, bahkan menginstal backdoor PowerShell bernama Backdoor.PowerExchange yang digunakan untuk memantau email masuk yang dikirim dari server Exchange. Backdoor ini digunakan untuk menjalankan perintah yang dikirim oleh penyerang dalam bentuk email dan menyampaikan hasil secara diam-diam kepada mereka. Backdoor PowerShell ini masuk ke server Microsoft Exchange dengan kata sandi yang telah di-set sebelumnya untuk menerima perintah melalui email. Backdoor tersebut mencari email dengan subjek berisi "@@" untuk menjalankan perintah, kemudian menghapus email tersebut.
Crambus juga menggunakan alat administrasi jaringan yang tersedia secara publik, yaitu Plink, untuk mengonfigurasi aturan port forwarding, yang memungkinkan akses jarak jauh melalui protokol remote desktop ke komputer yang telah terinfeksi. Meskipun para penyerang mendapatkan akses awal pada bulan Februari, mereka menunggu hingga Juli untuk menginstal backdoor PowerShell guna memastikan ketahanan jangka panjang. Kelompok Crambus sebelumnya telah terkait dengan
operasi siber mata-mata yang menargetkan terutama negara-negara di Timur Tengah dan Asia Barat, termasuk Arab Saudi, Israel, Uni Emirat Arab, Irak, Yordania, Lebanon, Kuwait, dan Qatar. Mereka telah muncul sejak tahun 2014 dan telah menggunakan banyak alat berbahaya termasuk lebih dari 100 web shell untuk menciptakan backdoor dan berkomunikasi dengan sistem yang terinfeksi.


Sumber : https://www.bankinfosecurity.com/iran-traps-middle-east-nation-in-8-month-espionage-campaign-a-23345