ขอบคุณภาพประกอบจาก : bleeping computer
กลุ่มแฮ็กเกอร์อิหร่าน OilRig หรือที่รู้จักในนาม (APT34) ได้ขโมยข้อมูลจากเครื่องคอมพิวเตอร์อย่างน้อย 12 เครื่องจาก รัฐบาลตะวันออกกลาง ระหว่าง กุมภาพันธ์ – กันยายน 2566
OilRig มีความเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (Ministry of Intelligence and Security-MOIS) และได้เคยโจมตี สหรัฐฯ ตะวันออกกลาง และ แอลเบเนีย โดยหน่วยงานที่ตรวจพบพฤติกรรมของแฮ็กเกอร์คือ Symantec ซึ่งเป็นทีมหนึ่งของบริษัท Broadcom (ผู้ผลิตเซมิคอนดักเตอร์รายใหญ่ระดับโลก)
กลุ่มแฮ็กเกอร์ OilRig ได้ขโมยรหัสผ่านและข้อมูลในเครื่องคอมพิวเตอร์เหยื่อ รวมถึงการติดตั้งแบ็คดอร์ PowerShell ที่มีชื่อว่า ‘ PowerExchange ‘ ซึ่งยอมรับคำสั่งจากการดำเนินการผ่าน Microsoft Exchange
จากรายงานของ Fortinet แบ็กดอร์ PowerExchange ได้รับการบันทึกไว้ครั้งแรกในเดือนพฤษภาคม พ.ศ. 2566 โดยกลุ่มแฮ็กเกอร์ APT34 ซึ่งมีตัวอย่างที่ดึงมาจากระบบที่ถูกบุกรุกขององค์กรภาครัฐในสหรัฐอาหรับเอมิเรตส์ นอกจากนี้ยังพบแฮ็กเกอร์ใช้มัลแวร์อื่นๆ ด้วย เช่น
- Backdoor.Tokel : ดำเนินการคำสั่ง PowerShell และดาวน์โหลดไฟล์
- Trojan.Dirps : ระบุไฟล์และรันคำสั่ง PowerShell
- Infostealer.Clipog : ขโมยข้อมูลคลิปบอร์ดและบันทึกการกดแป้นพิมพ์
- Mimikatz : ดึง password ออกมาจาก memory
- Plink : ชุดเครื่องมือรีโมทระยะไกลผ่านโปรโตคอล SSH คล้าย Putty
โดยสรุป OilRigs ใช้เครื่องมือ สคริปต์ และเทคนิคผสมผสานกันเพื่อให้เโจมตีเครื่องเหยื่อได้ง่ายขึ้น และสามารถฝังตัวเองไว้ในเครื่องเหยื่อเป็นเวลานาน
