İran'la bağları olduğundan şüphelenilen hacker grubu OilRig, bir yılı aşkın süredir İsrailli imalat şirketlerini, yerel yönetim kuruluşlarını ve sağlık sektörünü hedef alıyor.
BT güvenliği üreticisi ESET'teki araştırmacılar, APT grubu "OilRig"in (APT34, Lyceum, Crambus veya Siamesekitten olarak da bilinir) 2022'den bu yana İsrail'deki yerel hükümet kuruluşlarına, imalat şirketlerine ve ayrıca sağlık sektörüne saldıran bir kampanyasını ortaya çıkardı.
OilRig, veri sızdırma için meşru bulut hizmet sağlayıcılarını kullanıyor
İranlı olduğuna inanılan suçlular, İsrailli kuruluşların ağlarına sızmaya ve hassas verileri bulup sızdırmaya çalışıyor. Bu amaçla OilRig, SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent ve OilBooster gibi çeşitli yeni indiricileri kullanır. Dağıtım rotası olağandışıdır: Bilgisayar korsanı grubu, komuta ve kontrol iletişimi (C&C) ve veri hırsızlığı için meşru bulut hizmet sağlayıcılarını kullanır. Bunlar arasında Microsoft Graph OneDrive, Outlook Uygulama Programlama Arayüzleri (API'ler) ve Microsoft Office Exchange Web Hizmetleri API'si bulunur.
SC5k ve OilCheck dahil OilRig araç seti indiricileri özellikle karmaşık değildir. Kötü amaçlı yazılımı ESET araştırmacısı Adam Burgher ile birlikte analiz eden ESET araştırmacısı Zuzana Hromcová'ya göre OilRig, dikkatli olunması gereken bir grup. Sürekli olarak yeni varyantlar geliştiriyorlar, farklı bulut hizmetleri ve programlama dillerini deniyorlar ve sürekli olarak hedeflerinden taviz vermeye çalışıyorlar.
ESET Telemetri'ye göre OilRig, indiricilerinin kullanımını az sayıda hedefle sınırladı. İlginçtir ki bunlar aylar önce diğer OilRig araçlarının saldırısına uğramıştı. Şirketlerin Office 365 kaynaklarına erişmesi yaygın olduğundan OilRig, bulut destekli indiricileri normal ağ trafiğine daha kolay entegre edebilir.
İz büyük olasılıkla OilRig'e gidiyor
ESET büyük ihtimalle SC5k (v1-v3), OilCheck, ODAgent ve OilBooster'ı OilRig'e atfediyor. Bu indiriciler, yakın zamanda OilRig araç setine eklenen ve e-posta tabanlı C&C protokollerini kullanan MrPerfectionManager ve PowerExchange arka kapılarıyla benzerlikler paylaşıyor. Aradaki fark, SC5k, OilBooster, ODAgent ve OilCheck'in kurbanın dahili altyapısını değil, saldırganlar tarafından kontrol edilen bulut hizmeti hesaplarını kullanmasıdır.
Aynı hedeflere tekrarlanan saldırılar
ODAgent indiricisi İsrail'deki bir imalat şirketinin ağında keşfedildi. İlginç bir şekilde, aynı şirket daha önce OilRig indiricisi SC5k'den ve daha sonra Nisan ve Haziran 2022 arasında başka bir yeni indirici olan OilCheck'ten etkilenmişti. ODAgent ile benzer özelliklere sahip olmalarına rağmen C&C iletişimleri için bulut tabanlı e-posta hizmetlerini kullanıyorlar. 2022'de bu model birkaç kez tekrarlandı. Eski OilRig hedeflerinin ağlarına yeni indiriciler yerleştirildi. Haziran ve Ağustos 2022 arasında OilBooster, SC5k v1 ve SC5k v2 indiricilerinin yanı sıra arka kapı Shark keşfedildi. Bunların hepsi İsrail'deki bir yerel yönetim kuruluşunun ağına kurulmuştu. ESET daha sonra SC5k'nin (v3) başka bir sürümünü, yine OilRig'in önceki kurbanlarından biri olan İsrailli bir sağlık kuruluşunun ağında keşfetti.
OilRig Hakkında
APT34, Lyceum, Crambus veya Siamesekitten olarak da bilinen OilRig, en az 2014'ten beri aktif olan bir siber casusluk grubudur. Merkezinin İran'da olduğu sanılıyor. Grup, Orta Doğu'daki hükümetleri ve kimya, enerji, finans ve telekomünikasyon dahil olmak üzere çeşitli ekonomik sektörleri hedef alıyor.
Daha fazlası ESET.de'de
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.