Výskumníci spoločnosti ESET analyzovali dve kampane APT skupiny OilRig, ktorá je napojená na Irán: Outer Space z roku 2021 a Juicy Mix z roku 2022.
- ESET analyzoval dve kampane APT skupiny OilRig napojenej na Irán, ktoré uskutočnila v priebehu rokov 2021 (Outer Space) a 2022 (Juicy Mix).
- Útočníci sa zameriavali výlučne na izraelské organizácie a kompromitovali legitímne izraelské webové stránky, ktoré OilRig využíval na komunikáciu s riadiacim serverom.
- V každej kampani použili nový, predtým nezdokumentovaný backdoor: Solar v kampani Outer Space, a potom jeho nástupcu, Mango, v kampani Juicy Mix.
- V oboch kampaniach boli nasadené rôzne nástroje po kompromitácii. Boli použité na zhromažďovanie citlivých informácií z najrozšírenejších prehliadačov a zo Správcu poverení systému Windows.
Obe tieto kybernetické špionážne kampane boli zamerané výlučne na izraelské organizácie, čo zodpovedá zameraniu skupiny na Blízky východ, a obe používali rovnaký scenár. OilRig najprv kompromitovala legitímnu webovú stránku, ktorú použila ako riadiaci server, a následne svojim obetiam nasadila doposiaľ nezdokumentovaný backdoor. Útočníci využili aj rôzne nástroje po kompromitácii, ktoré sa väčšinou používajú na exfiltráciu údajov z cieľových systémov. Konkrétne sa používali na zhromažďovanie údajov zo Správcu poverení systému Windows a z najrozšírenejších prehliadačov, prihlasovacích údajov, súborov cookie a dát o histórii prehliadania.
V kampani Outer Space použila skupina OilRig jednoduchý, doteraz nezdokumentovaný backdoor v jazyku C#/.NET, ktorý ESET pomenoval ako Solar, spolu s novým downloaderom SampleCheck5000 (alebo SC5k), ktorý na komunikáciu s riadiacim serverom využíva Microsoft Office Exchange Web Services API. V rámci kampane Juicy Mix útočníci vylepšili malvér Solar a vytvorili backdoor Mango, ktorý disponuje ďalšími schopnosťami a metódami na obídenie detekcie. Oba backdoory boli nasadené pomocou dropperov VBS, ktoré sa pravdepodobne šírili prostredníctvom spearphishingových e-mailov. Spoločnosť ESET o napadnutých webových stránkach informovala aj izraelský CERT.
Výskumníci spoločnosti ESET pomenovali backdoor Solar na základe použitia názvov funkcií a úloh odkazujúcich na astronómiu. Ďalší nový backdoor Mango pomenovali na základe názvu v jeho vnútornom zložení a názvu súboru. Solar backdoor má základné funkcie a okrem iného sa dá použiť na sťahovanie a spúšťanie súborov a automatickú exfiltráciu súborov. Ako riadiaci server útočníci použili webový server izraelskej spoločnosti zaoberajúcej sa ľudskými zdrojmi, ktorý skupina OilRig skompromitovala ešte pred nasadením backdooru Solar.
Skupina OilRig v rámci kampane Juicy Mix presedlala z backdooru Solar na backdoor Mango. Ten funguje na podobnom princípe ako Solar a disponuje niektorými jeho schopnosťami, no taktiež obsahuje niektoré významné technické zmeny. Spoločnosť ESET identifikovala v rámci Manga dovtedy nepoužitú techniku vyhýbania sa detekcii. „Cieľom tejto techniky je zabrániť bezpečnostným produktom pridať do malvérového procesu vlastnú DLL knižnicu, pomocou ktorej by mohli podrobnejšie sledovať jeho správanie. Hoci v nami analyzovanej vzorke nebol tento parameter použitý, v budúcich verziách by mohol byť aktivovaný,“ hovorí výskumníčka spoločnosti ESET Zuzana Hromcová, ktorá sa podieľala na analýze dvoch kampaní skupiny OilRig.
Skupina OilRig, známa aj ako APT34, Lyceum alebo Siamesekitten, je kyberneticko-špionážna skupina, ktorá je aktívna minimálne od roku 2014 a predpokladá sa, že má sídlo v Iráne. Skupina sa zameriava na vlády krajín Blízkeho východu a rôzne odvetvia vrátane chemického, energetického, finančného a telekomunikačného sektora.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Pre najnovšie odhalenia výskumníkov spoločnosti ESET sledujte Twitter ESET Research.
