Onderzoekers van ESET hebben twee campagnes van de aan Iran gelinkte OilRig APT-groep geanalyseerd: Outer Space uit 2021 en Juicy Mix uit 2022. Beide cyberspionagecampagnes waren uitsluitend gericht op Israëlische organisaties, in lijn met de focus van de groep in het Midden-Oosten. Beiden gebruikten hetzelfde schema: OilRig compromitteerde eerst een legitieme website om die als C&C-server te gebruiken en leverde vervolgens niet gedocumenteerde backdoors aan de slachtoffers, terwijl verscheidene post-compromistools werden ingezet voor het exfiltreren van gegevens uit de doelsystemen.
· ESET Research analyseerde twee OilRig campagnes die plaats vonden in 2021 (Outer Space) en 2022 (Juicy Mix) door de aan Iran gelinkte APT-groep.
· De operatoren richtten zich uitsluitend op Israëlische organisaties en compromitteerden legitieme Israëlische websites voor gebruik in de Command & Control (C&C)-communicatie van OilRig.
· In elke campagne gebruikten ze een nieuwe, nog niet gedocumenteerde backdoor: Solar, in Outer Space, en zijn opvolger, Mango, in Juicy Mix.
· Voor beide campagnes werden verscheidene post-compromisinstrumenten gebruikt om gevoelige informatie van belangrijke browsers en Windows Credential Manager te verzamelen.
BRATISLAVA, MONTREAL — 21 september 2023 — Onderzoekers van ESET hebben twee campagnes van de aan Iran gelinkte OilRig APT-groep geanalyseerd: Outer Space uit 2021 en Juicy Mix uit 2022. Beide cyberspionagecampagnes waren uitsluitend gericht op Israëlische organisaties, in lijn met de focus van de groep in het Midden-Oosten. Beiden gebruikten hetzelfde schema: OilRig compromitteerde eerst een legitieme website om die als C&C-server te gebruiken en leverde vervolgens niet gedocumenteerde backdoors aan de slachtoffers, terwijl verscheidene post-compromistools werden ingezet voor het exfiltreren van gegevens uit de doelsystemen. Ze werden gebruikt om inloggegevens van Windows Credential Manager en belangrijke browsers, inloggegevens, cookies en browsegeschiedenis te verzamelen.
In zijn Outer Space-campagne gebruikte OilRig een eenvoudige, niet gedocumenteerde C#/.NET-backdoor, door ESET Research Solar genoemd, samen met een nieuwe downloader, SampleCheck5000 (of SC5k), die de Microsoft Office Exchange Web Services API gebruikt voor C&C-communicatie. In zijn Juicy Mix-campagne heeft OilRig Solar verbeterd om de Mango-backdoor te creëren. Deze beschikt over extra mogelijkheden en verduisteringsmethoden. Beide backdoors werden ingezet door VBS-droppers, verspreid via spearphishing-e-mails. Naast de detectie van de kwaadaardige toolset heeft ESET ook het Israëlische CERT ingelicht over de besmette websites.
De Solar backdoor beschikt over basisfunctionaliteiten en kan ook gebruikt worden voor het downloaden en uitvoeren van bestanden en het automatisch exfiltreren van bepaalde bestanden. De webserver van een Israëlisch HR-bedrijf, die OilRig vóór de implementatie van Solar had gecompromitteerd, werd gebruikt als C&C-server.
Voor de Juicy Mix-campagne schakelde OilRig van de Solar backdoor op Mango. Het heeft een workflow gelijkwaardige aan Solar en overlappende mogelijkheden, met enkele opmerkelijke technische veranderingen. ESET identificeerde binnen Mango een ongebruikte techniek voor het ontwijken van detectie. “Deze techniek heeft als doel te voorkomen dat beveiligingsoplossingen van endpoints tijdens dit proces hun gebruikersmoduscode via een DLL laden. Hoewel de parameter niet werd gebruikt in de steekproef die we analyseerden, zou deze in toekomstige versies kunnen geactiveerd worden”, zegt ESET-onderzoekster Zuzana Hromcová, die de twee OilRig-campagnes mee analyseerde.
OilRig, ook als APT34, Lyceum of Siamesekitten gekend, is een cyberspionagegroep, al sinds 2014 actief, en waarvan algemeen wordt aangenomen dat die in Iran gevestigd is. De groep richt zich op regeringen in het Midden-Oosten en een verscheidenheid aan organisaties in sectoren als chemie, energie, financiën en telecommunicatie.
Lees, voor meer technische informatie over OilRig en zijn Outer Space- en Juicy Mix-campagnes, de blogpost “OilRig’s Outer Space and Juicy Mix: Same ol’ rig, new drill pipes” op WeLiveSecurity. Zorg ervoor dat u ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws over ESET Research.
