Il gruppo di hacker OilRig, con sospetti legami con l’Iran, prende di mira le aziende manifatturiere israeliane, le organizzazioni governative locali e il settore sanitario da oltre un anno.
I ricercatori del produttore di sicurezza IT ESET hanno scoperto una campagna del gruppo APT “OilRig” (noto anche come APT34, Lyceum, Crambus o Siamesekitten), che dal 2022 attacca organizzazioni governative locali, aziende manifatturiere e anche il settore sanitario in Israele.
OilRig utilizza fornitori di servizi cloud legittimi per l'esfiltrazione dei dati
I criminali, presumibilmente iraniani, cercano di penetrare nelle reti delle organizzazioni israeliane e di trovare ed esfiltrare dati sensibili. A questo scopo, OilRig utilizza una varietà di nuovi downloader come SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster. Il percorso di distribuzione è insolito: il gruppo di hacker utilizza fornitori di servizi cloud legittimi per le comunicazioni di comando e controllo (C&C) e per l'esfiltrazione dei dati. Questi includono Microsoft Graph OneDrive, le API (Application Programming Interfaces) di Outlook e l'API dei servizi Web Microsoft Office Exchange.
I downloader del set di strumenti OilRig, inclusi SC5k e OilCheck, non sono particolarmente sofisticati. Secondo la ricercatrice ESET Zuzana Hromcová, che ha analizzato il malware insieme al ricercatore ESET Adam Burgher, OilRig è un gruppo da cui diffidare. Sviluppano continuamente nuove varianti, sperimentano diversi servizi cloud e linguaggi di programmazione e cercano costantemente di compromettere i propri obiettivi.
Secondo ESET Telemetry, OilRig ha limitato l’uso dei suoi downloader a un numero limitato di obiettivi. È interessante notare che questi erano già stati attaccati da altri strumenti OilRig mesi prima. Poiché è normale che le aziende accedano alle risorse di Office 365, OilRig può integrare più facilmente i downloader basati sul cloud nel normale traffico di rete.
Molto probabilmente il sentiero porta a OilRig
ESET molto probabilmente attribuisce SC5k (v1-v3), OilCheck, ODAgent e OilBooster a OilRig. Questi downloader condividono somiglianze con i backdoor MrPerfectionManager e PowerExchange, che sono stati recentemente aggiunti al set di strumenti OilRig e utilizzano protocolli C&C basati su posta elettronica. La differenza è che SC5k, OilBooster, ODAgent e OilCheck non utilizzano l'infrastruttura interna della vittima, ma account di servizi cloud controllati dagli aggressori.
Attacchi ripetuti sugli stessi obiettivi
Il downloader ODAgent è stato scoperto nella rete di un'azienda manifatturiera in Israele. È interessante notare che la stessa azienda è stata precedentemente interessata dal downloader OilRig SC5k e successivamente da un altro nuovo downloader, OilCheck, tra aprile e giugno 2022. Sebbene abbiano funzionalità simili a ODAgent, utilizzano servizi di posta elettronica basati su cloud per le comunicazioni C&C. Nel 2022, questo schema si è ripetuto più volte. Nuovi downloader sono stati implementati nelle reti degli ex obiettivi di OilRig. Tra giugno e agosto 2022 sono stati scoperti i downloader OilBooster, SC5k v1 e SC5k v2 nonché il backdoor Shark. Questi sono stati tutti installati sulla rete di un'organizzazione governativa locale in Israele. ESET ha successivamente scoperto un'altra versione di SC5k (v3) sulla rete di un'organizzazione sanitaria israeliana, anch'essa una precedente vittima di OilRig.
Informazioni su OilRig
OilRig, noto anche come APT34, Lyceum, Crambus o Siamesekitten, è un gruppo di spionaggio informatico attivo almeno dal 2014. Si ritiene che abbia sede in Iran. Il gruppo prende di mira i governi e una varietà di settori economici – tra cui la chimica, l’energia, la finanza e le telecomunicazioni – in Medio Oriente.
Altro su ESET.de
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.