OilRig (APT34) é um grupo iraniano de ciberespionagem ativo desde 2014, visando governos do Oriente Médio e vários setores como: –
- Químico
- Energia
- Finança
- Telecomunicações
A OilRig lançou o DNSpionage em 2018-2019 contra o Líbano e os Emirados Árabes Unidos, seguido pela campanha HardPass 2019-2020 usando o LinkedIn para metas do setor de energia e governo.
Recentemente, os pesquisadores de segurança cibernética da ESET identificado e analisou duas campanhas do grupo OilRig APT:-
- Espaço Exterior (2021)
- Mistura Suculenta (2022)
Estas campanhas de ciberespionagem visavam exclusivamente organizações israelitas, seguindo o seu enfoque no Médio Oriente. Eles se infiltraram através de sites legítimos, empregando droppers VBS para backdoors C#/.NET e ferramentas de dados pós-comprometimento.
Documento
Visão geral da campanha
- Espaço sideral: É uma campanha da OilRig de 2021 que usou um site de RH israelense como servidor C&C para o backdoor Solar. Aqui, com funções básicas, o Solar levou ao downloader SC5k, enquanto o MKG foi usado para exfiltração de dados do navegador.
- Mistura Suculenta: Em 2022, a OilRig lançou uma nova campanha, Juicy Mix, visando grupos israelenses com ferramentas atualizadas, comprometendo um portal de empregos para C&C e, em seguida, atingindo uma organização de saúde israelense com backdoor Mango, dois dumpers secretos de dados de navegador e um ladrão de gerente de credenciais.
Análise técnica
Ambas as campanhas usaram conta-gotas VBS, provavelmente entregues por meio de e-mails de spearphishing para estabelecer acesso ao sistema.
Esses droppers entregaram o Mango, garantiram a persistência e se conectaram ao servidor C&C. Ao mesmo tempo, o backdoor incorporado usava codificação base64 e desofuscação simples de string para ocultação.
Depois de incorporar o backdoor, o dropper programa o Mango (ou Solar) para ser executado a cada 14 minutos e envia o nome do computador comprometido por meio de uma solicitação POST codificada em base64 para o servidor C&C.
A campanha Outer Space da OilRig implanta Solar, um backdoor simples, mas versátil, capaz de baixar, executar arquivos e exfiltrar dados preparados de forma autônoma.
OilRig substituiu Solar por Mango no Juicy Mix, compartilhando um fluxo de trabalho e recursos familiares, mas apresentando distinções significativas.
O Mango inicia uma tarefa na memória executada a cada 32 segundos como o Solar, comunica-se com o servidor C&C e executa comandos. No entanto, Mango difere ao substituir a tarefa Vênus da Solar por um novo comando de exfiltração.
Ferramentas pós-comprometimento
Aqui abaixo, mencionamos todas as ferramentas pós-comprometimento: –
- Baixador SampleCheck5000 (SC5k)
- Dumpers de dados do navegador
- Windows Ladrão de gerenciador de credenciais
Com implantes tipo backdoor, a OilRig avança do Solar para o Mango. Eles ainda utilizam técnicas convencionais para obter dados do usuário enquanto utilizam tecnologias especializadas para coleta de dados.
