Crambus kémtevékenység
A Symantec kutatása szerint az iráni Crambus kémcsoport (OilRig, APT34) 2023 februárja és szeptembere között nyolc hónapig tartó behatolást szervezett a közel-keleti kormány ellen. A kiegyezés során a támadók fájlokat és jelszavakat loptak el, és egy esetben telepítettek egy PowerShell-hátsó ajtó (PowerExchange néven), amelyet az Exchange szerverről küldött bejövő levelek figyelésére használtak, hogy végrehajtsák a támadók által e-mailek formájában küldött parancsokat, és az eredményeket titokban továbbítsák a támadóknak.
Rosszindulatú tevékenység legalább 12 számítógépen történt, és bizonyíték van arra, hogy a támadók több tucat számítógépen hátsó ajtókat és billentyűnaplókat telepítettek. A rosszindulatú programok telepítése mellett a támadók gyakran használták a nyilvánosan elérhető hálózati adminisztrációs eszközt, a Plinket a porttovábbítási szabályok konfigurálására a feltört gépeken, lehetővé téve a távoli hozzáférést a Remote Desktop Protocol (RDP) segítségével. Arra is van bizonyíték, hogy a támadók módosították a Windows tűzfalszabályait, hogy lehetővé tegyék a távoli hozzáférést.
A Symantec megosztotta az azonosításhoz szükséges mutatókat.