Le groupe de piratage OilRig, soupçonné d’avoir des liens avec l’Iran, cible depuis plus d’un an les entreprises manufacturières israéliennes, les organisations gouvernementales locales et le secteur de la santé.
Des chercheurs du fabricant de sécurité informatique ESET ont découvert une campagne du groupe APT « OilRig » (également connu sous le nom d’APT34, Lyceum, Crambus ou Siamesekitten), qui attaque depuis 2022 les organisations gouvernementales locales, les entreprises manufacturières ainsi que le secteur de la santé en Israël.
OilRig utilise des fournisseurs de services cloud légitimes pour l'exfiltration de données
Les criminels, vraisemblablement originaires d'Iran, tentent de pénétrer dans les réseaux des organisations israéliennes et de trouver et d'exfiltrer des données sensibles. À cette fin, OilRig utilise une variété de nouveaux téléchargeurs tels que SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent et OilBooster. La voie de distribution est inhabituelle : le groupe de hackers utilise des fournisseurs de services cloud légitimes pour la communication de commande et de contrôle (C&C) et l'exfiltration de données. Il s'agit notamment de Microsoft Graph OneDrive, des interfaces de programmation d'applications (API) Outlook et de l'API des services Web Microsoft Office Exchange.
Les téléchargeurs de jeux d'outils OilRig, notamment SC5k et OilCheck, ne sont pas particulièrement sophistiqués. Selon Zuzana Hromcová, chercheuse d'ESET, qui a analysé le malware avec Adam Burgher, chercheur d'ESET, OilRig est un groupe dont il faut se méfier. Ils développent continuellement de nouvelles variantes, expérimentent différents services cloud et langages de programmation et tentent constamment de compromettre leurs objectifs.
Selon ESET Telemetry, OilRig a limité l'utilisation de ses téléchargeurs à un petit nombre de cibles. Il est intéressant de noter que ceux-ci avaient déjà été attaqués par d’autres outils d’OilRig des mois auparavant. Puisqu'il est courant que les entreprises accèdent aux ressources Office 365, OilRig peut intégrer plus facilement des téléchargeurs basés sur le cloud dans le trafic réseau régulier.
Le sentier mène très probablement à OilRig
ESET attribue très probablement SC5k (v1-v3), OilCheck, ODAgent et OilBooster à OilRig. Ces téléchargeurs partagent des similitudes avec les portes dérobées MrPerfectionManager et PowerExchange, qui ont été récemment ajoutées à l'ensemble d'outils OilRig et utilisent des protocoles C&C basés sur la messagerie électronique. La différence est que SC5k, OilBooster, ODAgent et OilCheck n'utilisent pas l'infrastructure interne de la victime, mais des comptes de services cloud contrôlés par les attaquants.
Attaques répétées sur les mêmes cibles
Le téléchargeur ODAgent a été découvert sur le réseau d'une entreprise manufacturière en Israël. Il est intéressant de noter que la même société a déjà été affectée par le téléchargeur OilRig SC5k, puis par un autre nouveau téléchargeur, OilCheck, entre avril et juin 2022. Bien qu'ils disposent de fonctionnalités similaires à celles d'ODAgent, ils utilisent des services de messagerie basés sur le cloud pour leurs communications C&C. En 2022, ce schéma s’est répété plusieurs fois. De nouveaux téléchargeurs ont été déployés dans les réseaux des anciennes cibles d'OilRig. Entre juin et août 2022, les téléchargeurs OilBooster, SC5k v1 et SC5k v2 ainsi que la porte dérobée Shark ont été découverts. Ceux-ci ont tous été installés sur le réseau d’une organisation gouvernementale locale en Israël. ESET a ensuite découvert une autre version de SC5k (v3) sur le réseau d'une organisation de santé israélienne, qui était également une précédente victime d'OilRig.
À propos de OilRig
OilRig, également connu sous les noms d'APT34, Lyceum, Crambus ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014. On pense qu'il est basé en Iran. Le groupe cible les gouvernements et divers secteurs économiques du Moyen-Orient, notamment la chimie, l'énergie, la finance et les télécommunications.
Plus sur ESET.de
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.