- ESET analyzoval dve kampane APT skupiny OilRig napojenej na Irán, ktoré uskutočnila v priebehu rokov 2021 (Outer Space) a 2022 (Juicy Mix).
- Útočníci sa zameriavali výlučne na izraelské organizácie a kompromitovali legitímne izraelské webové stránky, ktoré OilRig využíval na komunikáciu s riadiacim serverom.
- V každej kampani použili nový, predtým nezdokumentovaný backdoor: Solar v kampani Outer Space, a potom jeho nástupcu, Mango, v kampani Juicy Mix.
- V oboch kampaniach boli nasadené rôzne nástroje po kompromitácii. Boli použité na zhromažďovanie citlivých informácií z najrozšírenejších prehliadačov a zo Správcu poverení systému Windows.
Výskumníci spoločnosti ESET analyzovali dve kampane APT skupiny OilRig, ktorá je napojená na Irán: Outer Space z roku 2021 a Juicy Mix z roku 2022. Obe tieto kybernetické špionážne kampane boli zamerané výlučne na izraelské organizácie, čo zodpovedá zameraniu skupiny na Blízky východ, a obe používali rovnaký scenár. OilRig najprv kompromitovala legitímnu webovú stránku, ktorú použila ako riadiaci server, a následne svojim obetiam nasadila doposiaľ nezdokumentovaný backdoor. Útočníci využili aj rôzne nástroje po kompromitácii, ktoré sa väčšinou používajú na exfiltráciu údajov z cieľových systémov. Konkrétne sa používali na zhromažďovanie údajov zo Správcu poverení systému Windows a z najrozšírenejších prehliadačov, prihlasovacích údajov, súborov cookie a dát o histórii prehliadania.
V kampani Outer Space použila skupina OilRig jednoduchý, doteraz nezdokumentovaný backdoor v jazyku C#/.NET, ktorý ESET pomenoval ako Solar, spolu s novým downloaderom SampleCheck5000 (alebo SC5k), ktorý na komunikáciu s riadiacim serverom využíva Microsoft Office Exchange Web Services API. V rámci kampane Juicy Mix útočníci vylepšili malvér Solar a vytvorili backdoor Mango, ktorý disponuje ďalšími schopnosťami a metódami na obídenie detekcie. Oba backdoory boli nasadené pomocou dropperov VBS, ktoré sa pravdepodobne šírili prostredníctvom spearphishingových e-mailov. Spoločnosť ESET o napadnutých webových stránkach informovala aj izraelský CERT.
Výskumníci spoločnosti ESET pomenovali backdoor Solar na základe použitia názvov funkcií a úloh odkazujúcich na astronómiu. Ďalší nový backdoor Mango pomenovali na základe názvu v jeho vnútornom zložení a názvu súboru. Solar backdoor má základné funkcie a okrem iného sa dá použiť na sťahovanie a spúšťanie súborov a automatickú exfiltráciu súborov. Ako riadiaci server útočníci použili webový server izraelskej spoločnosti zaoberajúcej sa ľudskými zdrojmi, ktorý skupina OilRig skompromitovala ešte pred nasadením backdooru Solar.
Skupina OilRig v rámci kampane Juicy Mix presedlala z backdooru Solar na backdoor Mango. Ten funguje na podobnom princípe ako Solar a disponuje niektorými jeho schopnosťami, no taktiež obsahuje niektoré významné technické zmeny. Spoločnosť ESET identifikovala v rámci Manga dovtedy nepoužitú techniku vyhýbania sa detekcii. „Cieľom tejto techniky je zabrániť bezpečnostným produktom pridať do malvérového procesu vlastnú DLL knižnicu, pomocou ktorej by mohli podrobnejšie sledovať jeho správanie. Hoci v nami analyzovanej vzorke nebol tento parameter použitý, v budúcich verziách by mohol byť aktivovaný,“ hovorí výskumníčka spoločnosti ESET Zuzana Hromcová, ktorá sa podieľala na analýze dvoch kampaní skupiny OilRig.
Skupina OilRig, známa aj ako APT34, Lyceum alebo Siamesekitten, je kyberneticko-špionážna skupina, ktorá je aktívna minimálne od roku 2014 a predpokladá sa, že má sídlo v Iráne. Skupina sa zameriava na vlády krajín Blízkeho východu a rôzne odvetvia vrátane chemického, energetického, finančného a telekomunikačného sektora.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Pre najnovšie odhalenia výskumníkov spoločnosti ESET sledujte Twitter ESET Research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.