El grupo de hackers OilRig, con presuntos vínculos con Irán, ha estado atacando a empresas manufactureras israelíes, organizaciones gubernamentales locales y la industria de la salud durante más de un año.
Los investigadores del fabricante de seguridad informática ESET han descubierto una campaña del grupo APT “OilRig” (también conocido como APT34, Lyceum, Crambus o Siamesekitten), que ha estado atacando a organizaciones gubernamentales locales, empresas manufactureras y también al sector sanitario en Israel desde 2022.
OilRig utiliza proveedores legítimos de servicios en la nube para la filtración de datos
Los delincuentes, que se cree que son de Irán, están intentando penetrar las redes de organizaciones israelíes y encontrar y exfiltrar datos confidenciales. Para este propósito, OilRig utiliza una variedad de descargadores nuevos como SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent y OilBooster. La ruta de distribución es inusual: el grupo de hackers utiliza proveedores legítimos de servicios en la nube para la comunicación de comando y control (C&C) y la exfiltración de datos. Estos incluyen Microsoft Graph OneDrive, interfaces de programación de aplicaciones (API) de Outlook y API de servicios web de Microsoft Office Exchange.
Los descargadores del conjunto de herramientas OilRig, incluidos SC5k y OilCheck, no son particularmente sofisticados. Según la investigadora de ESET Zuzana Hromcová, que analizó el malware junto con el investigador de ESET Adam Burgher, OilRig es un grupo del que hay que tener cuidado. Desarrollan continuamente nuevas variantes, experimentan con diferentes servicios en la nube y lenguajes de programación y constantemente intentan comprometer sus objetivos.
Según ESET Telemetry, OilRig limitó el uso de sus descargadores a una pequeña cantidad de objetivos. Curiosamente, estos ya habían sido atacados por otras herramientas de OilRig meses antes. Dado que es común que las empresas accedan a los recursos de Office 365, OilRig puede integrar más fácilmente los descargadores impulsados por la nube en el tráfico normal de la red.
Lo más probable es que el rastro conduzca a OilRig.
Lo más probable es que ESET atribuya SC5k (v1-v3), OilCheck, ODAgent y OilBooster a OilRig. Estos descargadores comparten similitudes con las puertas traseras MrPerfectionManager y PowerExchange, que se agregaron recientemente al conjunto de herramientas de OilRig y utilizan protocolos C&C basados en correo electrónico. La diferencia es que SC5k, OilBooster, ODAgent y OilCheck no utilizan la infraestructura interna de la víctima, sino cuentas de servicios en la nube controladas por los atacantes.
Ataques repetidos contra los mismos objetivos.
El descargador ODAgent fue descubierto en la red de una empresa fabricante en Israel. Curiosamente, la misma empresa se vio afectada anteriormente por el descargador SC5k de OilRig y posteriormente por otro nuevo descargador, OilCheck, entre abril y junio de 2022. Aunque tienen características similares a ODAgent, utilizan servicios de correo electrónico basados en la nube para sus comunicaciones C&C. En 2022, este patrón se repitió varias veces. Se implementaron nuevos descargadores en las redes de antiguos objetivos de OilRig. Entre junio y agosto de 2022, se descubrieron los descargadores OilBooster, SC5k v1 y SC5k v2, así como la puerta trasera Shark. Todos estos fueron instalados en la red de una organización gubernamental local en Israel. Posteriormente, ESET descubrió otra versión de SC5k (v3) en la red de una organización de atención médica israelí, que también fue víctima anterior de OilRig.
Acerca de OilRig
OilRig, también conocido como APT34, Lyceum, Crambus o Siamesekitten, es un grupo de ciberespionaje que ha estado activo desde al menos 2014. Se cree que tiene su sede en Irán. El grupo se dirige a los gobiernos y a una variedad de sectores económicos -incluidos los químicos, la energía, las finanzas y las telecomunicaciones- en el Medio Oriente.
Más en ESET.de
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.