A ESET divulgou recentemente uma análise detalhada de duas campanhas realizadas pelo grupo de Ameaça Persistente Avançada (APT) conhecido como OilRig. Essas campanhas, chamadas de "Outer Space" em 2021 e "Juicy Mix" em 2022, tinham como alvo exclusivo organizações israelenses. O OilRig é amplamente reconhecido por suas atividades de espionagem cibernética no Oriente Médio.
Ambas as campanhas seguiram um padrão semelhante, onde o OilRig comprometia inicialmente um site legítimo para utilizá-lo como um servidor de comando e controle (C&C) e, em seguida, utilizava "droppers" VBS para entregar um backdoor C#/.NET às vítimas. Além disso, o grupo implantou várias ferramentas pós-compromisso para exfiltrar dados dos sistemas de destino.
Na campanha "Outer Space," o OilRig usou um backdoor C#/.NET anteriormente não documentado chamado "Solar," junto com um novo downloader chamado "SampleCheck5000 (SC5k)," que usava a API Microsoft Office Exchange Web Services para comunicação C&C. Na campanha "Juicy Mix," o OilRig aprimorou o Solar e criou o backdoor "Mango," que tinha capacidades e métodos de ofuscação adicionais. Além disso, eles notificaram o CERT israelense sobre os sites comprometidos.
Principais aspectos da pesquisa:
- A ESET observou duas campanhas do OilRig em 2021 (Outer Space) e 2022 (Juicy Mix);
- Os operadores miraram exclusivamente em organizações israelenses e comprometeram sites israelenses legítimos para suas comunicações C&C;
- Usaram um novo backdoor C#/.NET não documentado em cada campanha: Solar em Outer Space e Mango em Juicy Mix;
- Ambos os backdoors foram entregues por "droppers" VBS, presumivelmente distribuídos por meio de emails de spearphishing.
Foram implantadas várias ferramentas pós-comprometimento em ambas as campanhas, incluindo o downloader SC5k, que usava a API Microsoft Office Exchange Web Services para comunicação C&C, e várias ferramentas para roubar dados do navegador e credenciais do Windows Credential Manager.
O OilRig, também conhecido como APT34, Lyceum ou Siamesekitten, é um grupo de espionagem cibernética que está ativo desde pelo menos 2014 e é amplamente acreditado ser baseado no Irã. O grupo tem como alvo governos do Oriente Médio e diversos setores empresariais, incluindo química, energia, financeiro e telecomunicações. O OilRig realizou campanhas notáveis, como a DNSpionage em 2018 e 2019, e a HardPass em 2019 e 2020, usando o LinkedIn como vetor de ataque.
A análise técnica abrange detalhes sobre os backdoors Solar e Mango, os "droppers" VBS utilizados para entregá-los e outras ferramentas implantadas nas campanhas. Essas informações ajudam a compreender as táticas e técnicas usadas pelo OilRig e fornecem insights importantes para a segurança cibernética.
A ESET também observou semelhanças entre as campanhas Outer Space e Juicy Mix e outras atividades anteriores do OilRig, o que fortalece a atribuição das campanhas a esse grupo de ameaças.
A análise técnica detalhada das ferramentas e táticas usadas nessas campanhas pode ser valiosa para os profissionais de segurança cibernética e as organizações que desejam proteger suas redes contra ameaças semelhantes. É importante manter-se atualizado sobre essas informações para se defender contra ataques cibernéticos cada vez mais sofisticados.
Clique aqui e confira a pesquisa completa (em inglês).