イランとの関係が疑われるハッカー集団「OilRig」は、1年以上にわたってイスラエルの製造会社、地方自治体、医療業界を標的にしてきた。
ITセキュリティメーカーESETの研究者は、APTグループ「OilRig」(APT34、Lyceum、Crambus、Siamesekittenとしても知られる)によるキャンペーンを発見した。このキャンペーンは、2022年からイスラエルの地方政府組織、製造会社、さらには医療部門を攻撃し続けている。
OilRig はデータ漏洩に正規のクラウド サービス プロバイダーを使用しています
イラン出身とみられる犯罪者たちは、イスラエル組織のネットワークに侵入し、機密データを見つけて流出させようとしている。この目的のために、OilRig は、SampleCheck5000 (SC5k v1-v3)、OilCheck、ODAgent、OilBooster などのさまざまな新しいダウンローダーを使用します。配布ルートは特殊です。ハッカー グループは、コマンド アンド コントロール通信 (C&C) とデータの引き出しに正規のクラウド サービス プロバイダーを使用しています。これらには、Microsoft Graph OneDrive、Outlook アプリケーション プログラミング インターフェイス (API)、および Microsoft Office Exchange Web サービス API が含まれます。
SC5k や OilCheck などの OilRig ツールセット ダウンローダーは、特に洗練されているわけではありません。 ESET研究者のAdam Burgher氏とともにマルウェアを分析したESET研究者のズザナ・フロムコバ氏によると、OilRigは警戒すべきグループだという。彼らは継続的に新しい亜種を開発し、さまざまなクラウド サービスやプログラミング言語を実験し、常に目標を妥協しようと試みます。
ESET Telemetry によると、OilRig はダウンローダーの使用を少数のターゲットに限定していました。興味深いことに、これらは数か月前にすでに他の OilRig ツールによって攻撃されていました。企業が Office 365 リソースにアクセスするのは一般的であるため、OilRig はクラウドを利用したダウンローダーを通常のネットワーク トラフィックに簡単に統合できます。
この道はおそらくオイルリグにつながっています
ESET は、SC5k (v1 ~ v3)、OilCheck、ODAgent、および OilBooster が OilRig に起因すると考えられます。これらのダウンローダーは、最近 OilRig ツールセットに追加され、電子メールベースの C&C プロトコルを使用する MrPerfectionManager および PowerExchange バックドアと類似点を共有しています。違いは、SC5k、OilBooster、ODAgent、および OilCheck は被害者の内部インフラストラクチャを使用せず、攻撃者が制御するクラウド サービス アカウントを使用することです。
同じターゲットに対する繰り返しの攻撃
ODAgent ダウンローダーは、イスラエルの製造会社のネットワーク上で発見されました。興味深いことに、同じ会社は、5 年 2022 月から 2022 月にかけて、以前は OilRig ダウンローダー SC2022k の影響を受け、その後、別の新しいダウンローダーである OilCheck の影響を受けました。 ODAgent と同様の機能を備えていますが、C&C 通信にはクラウドベースの電子メール サービスを使用します。 5 年にも、このパターンが何度か繰り返されました。新しいダウンローダーが、以前の OilRig ターゲットのネットワークに導入されました。 1 年 5 月から 2 月にかけて、ダウンローダー OilBooster、SC5k v3、SCXNUMXk vXNUMX とバックドア Shark が発見されました。これらはすべて、イスラエルの地方政府組織のネットワークにインストールされました。その後、ESET は、以前の OilRig の被害者でもあったイスラエルの医療機関のネットワーク上で、別のバージョンの SCXNUMXk (vXNUMX) を発見しました。
オイルリグについて
APT34、Lyceum、Crambus、Siamesekitten としても知られる OilRig は、少なくとも 2014 年から活動しているサイバースパイグループです。イランに拠点を置いていると考えられています。このグループは、中東の政府および化学、エネルギー、金融、通信などのさまざまな経済部門をターゲットにしています。
詳細はESET.de
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。