伊朗高级持续威胁组织 (APT)OilRig 在 2022 年期间多次针对多个以色列组织发起网络攻击,这些攻击因使用合法 Microsoft 云服务通过自定义下载程序进行攻击者通信并窃取数据而闻名。
OilRig(又名 APT34、Helix Kitten、Cobalt Gypsym、Lyceum、Crambus 或 Siamesekitten)在攻击中部署了四个特定的新下载器 – SampleCheck5000 (SC5k v1-v3), ODAgent, OilCheck, and OilBooster 。
与其他 OilRig 工具相比,下载器工作方式的独特之处在于,它们使用各种合法的云服务(包括 Microsoft OneDrive、Microsoft Graph OneDrive API、Microsoft Graph Outlook API 和 Microsoft Office EWS API)进行命令和控制通信进行数据窃取。
到目前为止,攻击目标包括一家医疗保健组织、一家制造公司、一家地方政府组织和其他几个身份不明的组织,这些组织都位于以色列,其中大部分都是 APT 以前的目标。
ESET 研究员 Zuzana Hromcová 指出,下载程序本身并不是特别复杂,他与 ESET 研究员 Adam Burgher 一起分析了该恶意软件。然而,她说,还有其他原因导致该组织正在演变成目标组织的强大对手。
“新变体的不断开发和测试、各种云服务和不同编程语言的实验,以及一次又一次地对相同目标进行持续攻击的精神,使 OilRig 成为一个值得警惕的组织,”赫罗姆科娃在一份新闻声明中说道。
OilRig 仅针对有限数量的目标使用这些下载器,所有这些目标在几个月前就一直是该组织攻击的目标。根据 ESET 的说法,使用利用云服务的下载器是一种规避策略,可以让恶意软件更容易地融入到常规网络流量中,这可能就是 APT 使用它们来对付重复受害者的原因。
OilRig APT:不断演变的持续威胁
据了解,OilRig 自 2014 年以来一直活跃,主要在中东运营,目标是该地区跨多个行业的组织,包括但不限于化学、能源、金融和电信。
该组织主要从事网络攻击活动,最近与阿联酋的供应链攻击有关,但这只是与其相关的众多事件之一。
ESET 通过下载程序与使用基于电子邮件的 C2 协议的其他 OilRig 工具(即 MrPerfectionManager 和 PowerExchange 后门)之间的相似性,将 APT 确定为对以色列组织进行反复攻击的肇事者。
研究人员指出,OilRig 似乎是一种习惯性生物,会在多个场合重复相同的攻击模式。例如,在 2022 年 6 月至 8 月期间,ESET 检测到 OilBooster、SC5k v1 和 SC5k v2 下载器以及 Shark 后门,所有这些都位于以色列地方政府组织的网络中。
后来,ESET 在以色列医疗保健组织的网络中检测到另一个 SC5k 版本 (v3),该组织也是之前的 OilRig 受害者。 APT 还在以色列一家制造公司的网络中部署了 ODAgent,该公司此前曾受到 SC5k 和 OilCheck 的影响。
“OilRig 坚持以相同组织为目标,并决心在受感染的网络中保持立足点,”研究人员警告说。
ESET 在博客文章中列出了大量指标 (IoC),包括文件、网络活动和基于 MITRE ATT&CK 框架的技术,以帮助潜在目标确定他们是否可能受到最新一连串攻击的损害。
除了 OilBooster 是用 Microsoft Visual C/C++ 编写的之外,所有下载程序都是用 C++/.NET 编写的。它们都有自己独立的功能,并且行为上也有一些关键的差异。
它们之间的共同点是使用共享电子邮件或云存储帐户与 OilRig 操作员交换消息,这些消息可用于攻击多个受害者。下载者访问此帐户以下载操作员暂存的命令和附加有效负载,以及上传命令输出和暂存文件。
SC5k 有多个变体,是第一个出现的下载器(早在 2021 年 11 月),使用合法的云服务。所有变体都使用 Microsoft Office EWS API 与共享 Exchange 邮件帐户进行交互,作为下载附加负载和命令以及上传数据的方式。
OilCheck 于 2022 年 4 月被发现,它还使用共享电子邮件帐户中创建的草稿消息进行双向 C2 通信。但是,与 SC5k 不同,OilCheck 使用 REST-Microsoft Graph API 来访问共享的 Microsoft 365 Outlook 电子邮件帐户,而不是基于 SOAP 的 Microsoft Office EWS API。
研究人员表示,OilBooster 还使用 Microsoft Graph API 连接到 Microsoft 365 帐户,但与 OilCheck 不同的是,它使用此 API 与攻击者控制的 OneDrive 帐户进行交互,以进行 C2 通信和渗透,而不是与 Outlook 帐户进行交互。 OilBooster 的功能包括从远程服务器下载文件、执行文件和 shell 命令以及窃取结果。
研究人员称,ODAgent 使用 Microsoft Graph API 访问攻击者控制的 OneDrive 帐户以进行 C2 通信和渗透,并且被认为是 OilBooster 的前身。
“与 OilBooster 类似”他们写道,“ODAgent 反复连接到共享 OneDrive 帐户并列出受害者特定文件夹的内容,以获取额外的有效负载和后门命令。”
发表评论
您还未登录,请先登录。
登录