📩 26/09/2023 11:09
La società di sicurezza informatica ESET ha rivelato che il gruppo OilRig, legato all’Iran, sta inviando nuovo malware per raccogliere informazioni sull’identità delle sue vittime israeliane.
OilRig, noto anche come APT34, Lyceum o Siamesekitten, è un gruppo di spionaggio informatico attivo almeno dal 2014 e generalmente si ritiene abbia sede in Iran. Il gruppo comprende i governi del Medio Oriente; Si rivolge a vari settori tra cui la chimica, l'energia, la finanza e le telecomunicazioni.
I ricercatori ESET hanno esaminato due attacchi del gruppo OilRig APT (Advanced Persistent Threat) legato all’Iran. Outer Space del 2021 e Juicy Mix del 2022. Entrambi questi attacchi di cyberspionaggio hanno preso di mira specificamente le organizzazioni israeliane. Questo obiettivo ha confermato l'attenzione del gruppo sul Medio Oriente ed entrambi hanno utilizzato gli stessi metodi. OilRig ha prima compromesso un sito Web legittimo da utilizzare come server C&C e poi ha fornito alle sue vittime backdoor non documentate, distribuendo anche strumenti post-violazione utilizzati principalmente per esfiltrare dati dai sistemi di destinazione. Nello specifico, sono stati utilizzati per raccogliere credenziali da Windows Credential Manager e dai principali browser, credenziali, cookie e cronologia di navigazione.
OilRig ha sfruttato il SampleCheck5000 (o SC5k) dell'attacco Outer Space, un nuovo downloader che utilizza una semplice backdoor C#/.NET precedentemente non documentata che ESET Research chiama Solar e l'API dei servizi Web Microsoft Office Exchange per le comunicazioni di comando e controllo. Gli autori delle minacce hanno sviluppato Solar per l'attacco Juicy Mix, creando la backdoor Mango con funzionalità e metodi di offuscamento aggiuntivi. Entrambe le backdoor sono state probabilmente utilizzate dai distributori VBS, diffuse tramite e-mail di spear phishing. Oltre a rilevare il toolkit dannoso, ESET ha anche informato il CERT israeliano dei siti Web compromessi.
ESET ha chiamato la backdoor Solar, utilizzando uno schema di denominazione composto da termini astronomici nei nomi delle funzioni e nelle attività. Ha chiamato Mango un'altra nuova backdoor, in base al nome della trama interna e al nome del file. La backdoor denominata Solar ha funzioni di base. Può essere utilizzato per scaricare e riprodurre file, produrre automaticamente file in stage, tra le altre funzioni. Il server web di una società israeliana di risorse umane è stato utilizzato come server di comando e controllo durante la fase in cui OilRig ha compromesso la sicurezza di Solar prima di implementarla.
OilRig è passato dal backdoor Solar a Mango per la sua campagna Juicy Mix. Mango ha un flusso di lavoro simile e funzionalità sovrapposte a Solar, con alcune modifiche tecniche significative. ESET ha scoperto una tecnica di elusione del rilevamento inutilizzata in Mango.
Zuzana Hromcova, una dei ricercatori ESET che ha analizzato i due attacchi di OilRig, ha dichiarato: “Lo scopo di questa tecnica è impedire alle soluzioni di sicurezza degli endpoint di caricare hook di codice in modalità utente tramite una DLL nel processo. "Sebbene il parametro non sia stato utilizzato nell'esempio analizzato, potrebbe essere abilitato nelle versioni future."