OilRig (APT34), 2014’ten beri aktif olan ve Orta Doğu hükümetlerini ve aşağıdaki gibi çeşitli endüstrileri hedef alan İranlı bir siber casusluk grubudur: –
- Kimyasal
- Enerji
- Finans
- Telekom
OilRig, 2018-2019’da Lübnan ve BAE’ye karşı DNSpionage’ı başlattı ve ardından enerji ve kamu sektörü hedefleri için LinkedIn’i kullanan 2019-2020 HardPass kampanyasını izledi.
Yakın zamanda ESET’teki siber güvenlik araştırmacıları iki OilRig APT grubunun kampanyasını tanımladı ve analiz etti:-
- Uzay (2021)
- Sulu Karışım (2022)
Bu siber casusluk kampanyaları, Orta Doğu’ya odaklanan İsrail kuruluşlarını hedef alıyordu. C#/.NET arka kapıları ve uzlaşma sonrası veri araçları için VBS bırakıcılarını kullanarak meşru web siteleri aracılığıyla sızdılar.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Kampanyaya Genel Bakış
- Uzay: Bu, İsrail’deki bir İK sitesini Solar arka kapısı için C&C sunucusu olarak kullanan 2021 tarihli bir OilRig kampanyasıdır. Burada, temel işlevlerle Solar, SC5k indiricisine yol açarken MKG, tarayıcı verilerinin sızdırılması için kullanıldı.
- Sulu Karışım: 2022’de OilRig, Juicy Mix adında yeni bir kampanya başlattı; yükseltilmiş araçlarla İsrailli grupları hedef aldı, C&C için bir iş portalını tehlikeye attı, ardından Mango arka kapısı, iki gizli tarayıcı veri çöplüğü ve bir Kimlik Bilgisi Yöneticisi hırsızıyla İsrailli bir sağlık kuruluşuna saldırdı.
Teknik Analiz
Her iki kampanya da, sisteme erişim sağlamak için büyük olasılıkla hedef odaklı kimlik avı e-postaları yoluyla gönderilen VBS bırakıcılarını kullandı.
Bu damlalıklar Mango’yu teslim etti, kalıcılığı sağladı ve C&C sunucusuna bağlandı. Aynı zamanda, gömülü arka kapı, gizleme için base64 kodlamasını ve basit dize gizlemeyi kaldırmayı kullandı.
Arka kapıyı yerleştirdikten sonra, damlalık Mango’yu (veya Solar’ı) her 14 dakikada bir çalışacak şekilde programlar ve ele geçirilen bilgisayarın adını base64 kodlu bir POST isteği aracılığıyla C&C sunucusuna gönderir.
OilRig’in Outer Space kampanyası, dosyaları indirebilen, çalıştırabilen ve aşamalı verileri bağımsız olarak dışarı çıkarabilen basit ama çok yönlü bir arka kapı olan Solar’ı kullanıyor.
OilRig, Juicy Mix’te Solar’ı Mango ile değiştirerek tanıdık bir iş akışını ve yetenekleri paylaşıyor ancak önemli farklılıklar sunuyor.
Mango, Solar gibi her 32 saniyede bir çalışan bir bellek içi görev başlatır, C&C sunucusuyla iletişim kurar ve komutları yürütür. Ancak Mango, Solar’ın Venüs görevini yeni bir sızma komutuyla değiştirerek farklılık gösteriyor.
Uzlaşma sonrası araçlar
Aşağıda, uzlaşma sonrası tüm araçlardan bahsettik: –
- SampleCheck5000 (SC5k) indiricisi
- Tarayıcı veri taşıyıcıları
- Windows Kimlik Bilgisi Yöneticisi hırsızı
OilRig, arka kapı benzeri implantlarla Solar’dan Mango’ya ilerliyor. Veri toplama için özel teknolojiler kullanırken, kullanıcı verilerini elde etmek için hâlâ geleneksel teknikleri kullanıyorlar.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.