ESET-onderzoekers analyseerden een groeiende reeks nieuwe OilRig-downloaders die de groep in 2022 in verschillende campagnes gebruikte om toegang te krijgen tot organisaties van bijzondere interesse, allemaal in Israël gevestigd. Het gaat o.a. om een organisatie in de zorgsector, een productiebedrijf en een lokale overheid.
· OilRig, de aan Iran gelinkte Advanced Persistent Threat (APT)-groep ontwikkelde en gebruikte in 2022 een reeks downloaders met vergelijkbare logica. Er zijn drie nieuwe downloaders – ODAgent, OilCheck en OilBooster – en nieuwere versies van de SC5k-downloader.
· Tot de doelwitten, allemaal in Israël, behoorden een organisatie in de gezondheidszorgsector, een productiebedrijf en een lokale overheidsorganisatie. Alle doelwitten werden eerder al getroffen door meerdere OilRig-campagnes.
De downloaders gebruiken verschillende legitieme clouddiensten voor commando- en controlecommunicatie en data-exfiltratie; namelijk Microsoft Graph OneDrive API, Microsoft Graph Outlook API en Microsoft Office EWS API.
BRATISLAVA, MONTREAL — 14 december 2023 — ESET-onderzoekers analyseerden een groeiende reeks nieuwe OilRig-downloaders die de groep in 2022 in verschillende campagnes gebruikte om toegang te krijgen tot organisaties van bijzondere interesse, allemaal in Israël gevestigd. Het gaat o.a. om een organisatie in de zorgsector, een productiebedrijf en een lokale overheid. OilRig is een APT-groep, vermoedelijk in Iran gevestigd, die zijn activiteiten, net als deze nieuwste downloaders, op cyberspionage richt. De nieuwe lichtgewicht downloaders – SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent en OilBooster – vallen op door het gebruik van legitieme cloudopslag en cloudgebaseerde e-maildiensten voor commando- en controlecommunicatie (C&C) en exfiltratie van gegevens, namelijk de Microsoft Graph OneDrive of Outlook Application Programming Interfaces (API) en Microsoft Office Exchange Web Services API.
“Zoals de rest van de OilRig-toolset, zijn deze downloaders niet bijzonder geavanceerd. Maar de voortdurende ontwikkeling en het testen van nieuwe varianten, het experimenteren met diverse clouddiensten en programmeertalen alsook de inzet om keer op keer dezelfde doelen te compromitteren, maken van OilRig een groep om in de gaten te houden”, zegt ESET-onderzoekster Zuzana Hromcová, die de malware samen met ESET-onderzoeker Adam Burgher analyseerde.
ESET kent SC5k (v1-v3), OilCheck, ODAgent en OilBooster met vertrouwen toe aan OilRig. Deze downloaders delen overeenkomsten met de MrPerfectionManager en PowerExchange backdoors – andere recente toevoegingen aan de OilRig-toolset die op e-mail gebaseerde C&C-protocollen gebruiken – maar met het verschil dat SC5k, OilBooster, ODAgent en OilCheck door aanvallers gecontroleerde accounts op clouddiensten gebruiken in plaats van de interne infrastructuur van het slachtoffer.
De downloader ODAgent werd gedetecteerd in het netwerk van een productiebedrijf in Israël. Dezelfde organisatie werd reeds tussen april en juni 2022 getroffen door de SC5k-downloader van OilRig, en later door een andere nieuwe downloader, OilCheck. SC5k en OilCheck hebben vergelijkbare capaciteiten als ODAgent maar maken gebruik van cloudgebaseerde e-maildiensten voor hun C&C-communicatie. Gedurende 2022 zag ESET dat hetzelfde patroon zich steeds herhaalde, waarbij nieuwe downloaders werden ingezet in de netwerken van eerdere OilRig-doelen. Tussen juni en augustus 2022 detecteerde ESET o.a. de OilBooster-, SC5k v1- en SC5k v2-downloaders alsook de Shark backdoor, allemaal in het netwerk van een lokale overheidsorganisatie in Israël. Later ontdekte ESET nog een SC5k-versie (v3) in het netwerk van een Israëlische gezondheidszorgorganisatie, voorheen ook een OilRig-slachtoffer.
Volgens de telemetrie van ESET gebruikte OilRig deze downloaders slechts voor een beperkt aantal doelwitten die allemaal maanden eerder voortdurend werden aangevallen door andere OilRig-tools.
Daar het gebruikelijk is dat organisaties toegang hebben tot Office 365-bronnen, kunnen de door de clouddienst aangedreven downloaders van OilRig dus gemakkelijker opgaan in de reguliere stroom netwerkverkeer. Dit is blijkbaar ook de reden waarom de aanvallers ervoor kozen deze downloaders in te zetten voor een kleine groep bijzonder interessante en regelmatige doelwitten.
OilRig, ook gekend als APT34, Lyceum, Crambus of Siamesekitten, is een cyberspionagegroep die al sinds 2014 actief is, en waarvan algemeen wordt aangenomen dat die in Iran gevestigd is. De groep richt zich op regeringen uit het Midden-Oosten en een verscheidenheid aan bedrijfstakken, waaronder de chemie, energie, telecommunicatie en de financiële sector.
Voor meer technische informatie over de nieuwste Oil Rig-downloaders, lees de blog “OilRig’s persistent attacks using cloud service-powered downloaders” op WeLiveSecurity.com. Volg ook ESET Research on Twitter (today known as X) voor de nieuwste info.
