Organizações israelenses foram alvo de duas diferentes campanhas orquestradas pelo agente estado-nacional iraniano conhecido como OilRig em 2021 e 2022.
As campanhas, apelidadas de Outer Space e Juicy Mix, consistiram no uso de duas backdoors de primeiro estágio previamente documentadas chamadas Solar e Mango, que foram implantadas para coletar informações sensíveis dos principais navegadores e do Gerenciador de Credenciais do Windows.
"Ambas as backdoors foram implantadas por gotas VBS, supostamente espalhadas por e-mails spear-phishing", disse a pesquisadora de segurança da ESET, Zuzana Hromcová, em uma análise na quinta-feira.
OilRig (também conhecido como APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten) é o nome atribuído a um conjunto de intrusões afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS).
Ativo desde 2014, o ator de ameaças tem usado uma ampla gama de ferramentas à sua disposição para realizar o roubo de informações.
Em fevereiro deste ano, a Trend Micro descobriu o uso de uma backdoor simples pelo OilRig para roubar as credenciais dos usuários, destacando sua "flexibilidade para escrever novos malwares com base em ambientes de clientes pesquisados e níveis de acesso".
O grupo também foi observado entregando uma versão atualizada do SideTwist como parte de um ataque de phishing provavelmente direcionado a empresas americanas.
Dito isto, o uso do malware Mango foi previamente destacado tanto pela ESET quanto pela Microsoft em maio de 2023, sendo esta última atribuída a um grupo de atividades emergentes que ela rastreia sob o nome Storm-0133.
Storm-0133, também associado ao MOIS, tem como alvo exclusivamente as agências governamentais locais de Israel e empresas que atendem os setores de defesa, hospedagem e de saúde, segundo a Microsoft.
As descobertas mais recentes da empresa de segurança cibernética eslovaca estabelecem o foco contínuo do grupo em Israel, usando iscas de spear-phishing para enganar possíveis alvos e instalar o malware por meio de anexos armadilhados.
Na campanha Outer Space observada em 2021, o OilRig comprometeu um site de recursos humanos israelense e posteriormente o usou como servidor de comando e controle (C2) para o Solar, uma backdoor básica C#/.NET capaz de baixar e executar arquivos e coletar informações.
O Solar também atua como um veículo para implantar um downloader chamado SampleCheck5000 (ou SC5k), que usa a API Office Exchange Web Services (EWS) para baixar ferramentas adicionais para execução, bem como uma utilidade para exfiltrar dados do navegador Chrome, conhecido como MKG.
"Uma vez que o SC5k faz login no servidor Exchange remoto, ele recupera todos os e-mails no diretório Rascunhos, classifica-os por mais recentes, mantendo apenas os rascunhos que têm anexos", disse Hromcová.
"Em seguida, itera sobre cada mensagem de rascunho com um anexo, procurando anexos JSON que contêm "dados" no corpo.
Extraí os valores do campo de dados no arquivo JSON, decodifica em base64 e descriptografa o valor, e chama o cmd.exe para executar a linha de comando resultante."
Os resultados da execução do comando são preparados e enviados de volta aos operadores via uma nova mensagem de e-mail no servidor Exchange e salvos como rascunho.
A campanha Juicy Mix de 2022 envolveu a utilização do Mango, uma versão melhorada do Solar com capacidades adicionais e métodos de ofuscação.
Para fins de C2, o ator da ameaça comprometeu um legítimo site de portal de empregos israelense.
"OilRig continua a inovar e criar novos implantes com capacidades semelhantes às de backdoor, enquanto encontra novas maneiras de executar comandos em sistemas remotos", disse Hromcová.
"O grupo implanta um conjunto de ferramentas personalizadas pós-comprometimento que são usadas para coletar credenciais, cookies e histórico de navegação dos principais navegadores e do Gerenciador de Credenciais do Windows."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...