กลุ่มแฮ็กเกอร์อิหร่าน ได้ขโมยข้อมูลเครื่องคอมพิวเตอร์จากรัฐบาลตะวันออกกลาง 
.
OilRig มีความเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน
(Ministry of Intelligence and Security-MOIS) และได้เคยโจมตี สหรัฐฯ
ตะวันออกกลาง และ แอลเบเนีย โดยหน่วยงานที่ตรวจพบพฤติกรรมของแฮ็กเกอร์คือ
Symantec ซึ่งเป็นทีมหนึ่งของบริษัท Broadcom กลุ่มแฮ็กเกอร์ OilRig
ได้ขโมยรหัสผ่านและข้อมูลในเครื่องคอมพิวเตอร์เหยื่อ
รวมถึงการติดตั้งแบ็คดอร์ PowerShell ที่มีชื่อว่า PowerExchange
ซึ่งยอมรับคำสั่งจากการดำเนินการผ่าน Microsoft Exchange
.
รายงานของ Fortinet แบ็กดอร์ PowerExchange
ได้รับการบันทึกไว้ครั้งแรกในเดือนพฤษภาคม พ.ศ. 2566 โดยกลุ่มแฮ็กเกอร์
APT34
ซึ่งมีตัวอย่างที่ดึงมาจากระบบที่ถูกบุกรุกขององค์กรภาครัฐในสหรัฐอาหรับเอมิเรตส์
นอกจากนี้ยังพบแฮ็กเกอร์ใช้มัลแวร์อื่นๆ ด้วย เช่น 
Backdoor.Tokel : ดำเนินการคำสั่ง PowerShell และดาวน์โหลดไฟล์ Trojan.Dirps : ระบุไฟล์และรันคำสั่ง PowerShellInfostealer.Clipog : ขโมยข้อมูลคลิปบอร์ดและบันทึกการกดแป้นพิมพ์Mimikatz : ดึง password ออกมาจาก memory Plink : ชุดเครื่องมือรีโมทระยะไกลผ่านโปรโตคอล SSH คล้าย Putty
.
โดยสรุป OilRigs ใช้เครื่องมือ สคริปต์
และเทคนิคผสมผสานกันเพื่อให้เโจมตีเครื่องเหยื่อได้ง่ายขึ้น
และสามารถฝังตัวเองไว้ในเครื่องเหยื่อเป็นเวลานาน
----------------------------------------------------------------------------
แหล่งที่มา : intsharing , symantec
***ฝากกดLike/กดShare และกดติดตาม เพื่ออัพเดทข่าวสารน่ารู้เกี่ยวการรักษาความมั่นคงปลอดภัยทางไซเบอร์
