O grupo de hackers OilRig, com suspeitas de ligações com o Irã, tem como alvo empresas industriais israelenses, organizações governamentais locais e o setor de saúde há mais de um ano.
Pesquisadores do fabricante de segurança de TI ESET descobriram uma campanha do grupo APT “OilRig” (também conhecido como APT34, Lyceum, Crambus ou Siamesekitten), que tem atacado organizações governamentais locais, empresas de manufatura e também o setor de saúde em Israel desde 2022.
OilRig usa provedores legítimos de serviços em nuvem para exfiltração de dados
Os criminosos, que se acredita serem do Irão, estão a tentar penetrar nas redes de organizações israelitas e encontrar e exfiltrar dados sensíveis. Para este propósito, a OilRig utiliza uma variedade de novos downloaders, como SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster. A rota de distribuição é incomum: o grupo de hackers usa provedores legítimos de serviços em nuvem para comunicação de comando e controle (C&C) e exfiltração de dados. Isso inclui Microsoft Graph OneDrive, Interfaces de Programação de Aplicativos (APIs) do Outlook e API de Serviços Web do Microsoft Office Exchange.
Os downloaders do conjunto de ferramentas OilRig, incluindo SC5k e OilCheck, não são particularmente sofisticados. De acordo com a pesquisadora da ESET Zuzana Hromcová, que analisou o malware junto com o pesquisador da ESET Adam Burgher, o OilRig é um grupo com o qual devemos ter cuidado. Eles desenvolvem continuamente novas variantes, experimentam diferentes serviços em nuvem e linguagens de programação e tentam constantemente comprometer seus objetivos.
De acordo com a ESET Telemetry, a OilRig limitou o uso de seus downloaders a um pequeno número de alvos. Curiosamente, estes já haviam sido atacados por outras ferramentas OilRig meses antes. Como é comum que as empresas acessem os recursos do Office 365, a OilRig pode integrar mais facilmente downloaders alimentados pela nuvem ao tráfego regular da rede.
A trilha provavelmente leva à OilRig
A ESET provavelmente atribui SC5k (v1-v3), OilCheck, ODAgent e OilBooster ao OilRig. Esses downloaders compartilham semelhanças com os backdoors MrPerfectionManager e PowerExchange, que foram recentemente adicionados ao conjunto de ferramentas OilRig e usam protocolos C&C baseados em email. A diferença é que SC5k, OilBooster, ODAgent e OilCheck não utilizam a infraestrutura interna da vítima, mas sim contas de serviços em nuvem controladas pelos invasores.
Ataques repetidos aos mesmos alvos
O downloader ODAgent foi descoberto na rede de uma empresa de manufatura em Israel. Curiosamente, a mesma empresa foi anteriormente afetada pelo downloader OilRig SC5k e posteriormente por outro novo downloader, OilCheck, entre abril e junho de 2022. Embora tenham recursos semelhantes ao ODAgent, eles usam serviços de e-mail baseados em nuvem para suas comunicações C&C. Em 2022, esse padrão se repetiu diversas vezes. Novos downloaders foram implantados nas redes dos antigos alvos da OilRig. Entre junho e agosto de 2022, foram descobertos os downloaders OilBooster, SC5k v1 e SC5k v2, bem como o backdoor Shark. Todos foram instalados na rede de uma organização governamental local em Israel. Mais tarde, a ESET descobriu outra versão do SC5k (v3) na rede de uma organização de saúde israelense, que também foi vítima anterior da OilRig.
Sobre OilRig
OilRig, também conhecido como APT34, Lyceum, Crambus ou Siamesekitten, é um grupo de espionagem cibernética que está ativo pelo menos desde 2014. Acredita-se que esteja baseado no Irã. O grupo tem como alvo governos e uma variedade de sectores económicos - incluindo produtos químicos, energia, finanças e telecomunicações - no Médio Oriente.
Mais em ESET.de
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.