O ator de ameaça patrocinado pelo estado iraniano conhecido como OilRig implantou três diferentes malwares de download ao longo de 2022 para manter o acesso persistente a organizações vítimas localizadas em Israel.
Os três novos downloads foram nomeados ODAgent, OilCheck e OilBooster pela empresa de cibersegurança eslovaca ESET.
Os ataques também envolveram o uso de uma versão atualizada de um downloader conhecido do OilRig chamado SampleCheck5000 (ou SC5k).
"Esses downloads leves [...] são notáveis por usar uma de várias APIs de serviço de nuvem legítimas para [comando e controle] de comunicação e exfiltração de dados: as APIs do Microsoft Graph OneDrive ou Outlook, e a API do Microsoft Office Exchange Web Services (EWS)".
Ao usar provedores de serviço de nuvem bem conhecidos para comunicação de comando e controle, o objetivo é se misturar com o tráfego de rede autêntico e encobrir a infraestrutura de ataque do grupo.
Alguns dos alvos da campanha incluem uma organização do setor de saúde, uma empresa de manufatura e uma organização governamental local, entre outras.
Todas as vítimas são ditas ter sido anteriormente alvo do ator de ameaça.
O acesso inicial exato usado para comprometer os alvos atualmente é incerto e não se sabe se os atacantes conseguiram manter sua posição nas redes, a fim de implantar esses downloads em vários momentos de 2022.
OilRig, também conhecido como APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anteriormente EUROPIUM) e Helix Kitten, é um grupo de espionagem cibernética iraniano que se sabe que está ativo desde pelo menos 2014, empregando uma ampla gama de malwares à disposição para alvos no Oriente Médio.
Este ano, a equipe de hackers foi observada utilizando novos malwares como MrPerfectionManager, PowerExchange, Solar, Mango e Menorah.
ODAgent, detectado pela primeira vez em fevereiro de 2022, é um downloader C#/.NET que utiliza a API do Microsoft OneDrive para comunicações de comando e controle (C2), permitindo ao ator de ameaça baixar e executar payloads e exfiltrar arquivos preparados.
SampleCheck5000, por outro lado, é projetado para interagir com uma conta de e-mail compartilhada do Microsoft Exchange para baixar e executar ferramentas adicionais do OilRig com o uso da API do Office Exchange Web Services (EWS).
OilBooster, da mesma forma que o ODAgent, usa a API do Microsoft OneDrive para C2, enquanto OilCheck adota a mesma técnica que SampleCheck5000 para extrair comandos incorporados em mensagens de rascunho.
Mas, ao invés de usar a API do EWS, ele usa a API do Microsoft Graph para comunicações de rede.
OilBooster também é semelhante ao OilCheck em que utiliza a API do Microsoft Graph para se conectar a uma conta do Microsoft Office 365.
O que é diferente desta vez é que a API é usada para interagir com uma conta OneDrive controlada pelo ator, em vez de uma conta Outlook, para buscar comandos e payloads de pastas específicas para a vítima.
No caso deste último, o servidor de Exchange da organização vitimizada é usado para enviar mensagens para a conta de email do atacante.
"Em todos os casos, os downloads usam uma conta compartilhada (email ou armazenamento em nuvem) operada pela OilRig para trocar mensagens com os operadores da OilRig; a mesma conta normalmente é compartilhada por várias vítimas", explicam os pesquisadores.
"Os downloads acessam essa conta para baixar comandos e payloads preparadas pelos operadores e para enviar o resultado dos comandos e arquivos preparados".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...