Хакерська група OilRig, підозрювана у зв'язках з Іраном, більше року атакувала ізраїльські виробничі компанії, місцеві урядові організації та галузь охорони здоров'я.
Дослідники виробника ІТ-безпеки ESET виявили кампанію групи APT «OilRig» (також відомої як APT34, Lyceum, Crambus або Siamesekitten), яка атакувала місцеві урядові організації, виробничі компанії, а також сектор охорони здоров’я в Ізраїлі з 2022 року.
OilRig використовує законних постачальників хмарних послуг для викрадання даних
Злочинці, які, як вважають, походять з Ірану, намагаються проникнути в мережі ізраїльських організацій і знайти та викрасти конфіденційні дані. Для цього OilRig використовує різноманітні нові завантажувачі, такі як SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent і OilBooster. Маршрут розповсюдження незвичайний: група хакерів використовує законних постачальників хмарних послуг для командно-контрольного зв’язку (C&C) і викрадання даних. До них належать Microsoft Graph OneDrive, інтерфейси прикладного програмування Outlook (API) і API веб-служб Microsoft Office Exchange.
Завантажувачі набору інструментів OilRig, включаючи SC5k і OilCheck, не надто складні. За словами дослідника ESET Зузани Хромчової, яка аналізувала зловмисне програмне забезпечення разом із дослідником ESET Адамом Бергером, OilRig — це група, з якою слід побоюватися. Вони постійно розробляють нові варіанти, експериментують з різними хмарними службами та мовами програмування та постійно намагаються йти на компроміс із своїми цілями.
За даними ESET Telemetry, OilRig обмежив використання своїх завантажувачів невеликою кількістю цілей. Цікаво, що вони вже були атаковані іншими інструментами OilRig кілька місяців тому. Оскільки компанії зазвичай отримують доступ до ресурсів Office 365, OilRig може легше інтегрувати хмарні завантажувачі в звичайний мережевий трафік.
Стежка, швидше за все, веде до OilRig
ESET, швидше за все, приписує SC5k (v1-v3), OilCheck, ODAgent і OilBooster OilRig. Ці завантажувачі подібні до бекдорів MrPerfectionManager і PowerExchange, які нещодавно були додані до набору інструментів OilRig і використовують протоколи C&C на основі електронної пошти. Різниця полягає в тому, що SC5k, OilBooster, ODAgent і OilCheck використовують не внутрішню інфраструктуру жертви, а облікові записи хмарних сервісів, контрольовані зловмисниками.
Повторні атаки на ті самі цілі
Завантажувач ODAgent був виявлений в мережі компанії-виробника в Ізраїлі. Цікаво, що на ту ж компанію раніше вплинув завантажувач OilRig SC5k, а пізніше інший новий завантажувач OilCheck у період з квітня по червень 2022 року. Незважаючи на те, що вони мають функції, подібні до ODAgent, вони використовують хмарні служби електронної пошти для зв’язку C&C. У 2022 році така картина повторювалася кілька разів. Нові завантажувачі були розгорнуті в мережах колишніх цілей OilRig. У період з червня по серпень 2022 року було виявлено завантажувачі OilBooster, SC5k v1 і SC5k v2, а також бекдор Shark. Усі вони були встановлені в мережі місцевої урядової організації в Ізраїлі. Пізніше ESET виявила іншу версію SC5k (v3) у мережі ізраїльської організації охорони здоров’я, яка також була попередньою жертвою OilRig.
Про OilRig
OilRig, також відома як APT34, Lyceum, Crambus або Siamesekitten, — це група кібершпигунства, яка діє принаймні з 2014 року. Вважається, що він базується в Ірані. Група націлена на уряди та різноманітні сектори економіки, включаючи хімічну, енергетичну, фінансову та телекомунікаційну промисловість, на Близькому Сході.
Більше на ESET.de
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.