OilRig C#/.NET Geniş Bir Sektör Yelpazesine Saldırmak İçin Arka Kapı


OilRig (APT34), 2014’ten beri aktif olan ve Orta Doğu hükümetlerini ve aşağıdaki gibi çeşitli endüstrileri hedef alan İranlı bir siber casusluk grubudur: –

  • Kimyasal
  • Enerji
  • Finans
  • Telekom

OilRig, 2018-2019’da Lübnan ve BAE’ye karşı DNSpionage’ı başlattı ve ardından enerji ve kamu sektörü hedefleri için LinkedIn’i kullanan 2019-2020 HardPass kampanyasını izledi.

Yakın zamanda ESET’teki siber güvenlik araştırmacıları iki OilRig APT grubunun kampanyasını tanımladı ve analiz etti:-

  • Uzay (2021)
  • Sulu Karışım (2022)

Bu siber casusluk kampanyaları, Orta Doğu’ya odaklanan İsrail kuruluşlarını hedef alıyordu. C#/.NET arka kapıları ve uzlaşma sonrası veri araçları için VBS bırakıcılarını kullanarak meşru web siteleri aracılığıyla sızdılar.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Kampanyaya Genel Bakış

  • Uzay: Bu, İsrail’deki bir İK sitesini Solar arka kapısı için C&C sunucusu olarak kullanan 2021 tarihli bir OilRig kampanyasıdır. Burada, temel işlevlerle Solar, SC5k indiricisine yol açarken MKG, tarayıcı verilerinin sızdırılması için kullanıldı.
Sondaj kulesi
OilRig’in Outer Space uzlaşma zinciri (Kaynak – ESET)
  • Sulu Karışım: 2022’de OilRig, Juicy Mix adında yeni bir kampanya başlattı; yükseltilmiş araçlarla İsrailli grupları hedef aldı, C&C için bir iş portalını tehlikeye attı, ardından Mango arka kapısı, iki gizli tarayıcı veri çöplüğü ve bir Kimlik Bilgisi Yöneticisi hırsızıyla İsrailli bir sağlık kuruluşuna saldırdı.
Sondaj kulesi
OilRig’in Juicy Mix kampanyasında kullanılan bileşenler (Kaynak – ESET)

Teknik Analiz

Her iki kampanya da, sisteme erişim sağlamak için büyük olasılıkla hedef odaklı kimlik avı e-postaları yoluyla gönderilen VBS bırakıcılarını kullandı.

Bu damlalıklar Mango’yu teslim etti, kalıcılığı sağladı ve C&C sunucusuna bağlandı. Aynı zamanda, gömülü arka kapı, gizleme için base64 kodlamasını ve basit dize gizlemeyi kaldırmayı kullandı.

Arka kapıyı yerleştirdikten sonra, damlalık Mango’yu (veya Solar’ı) her 14 dakikada bir çalışacak şekilde programlar ve ele geçirilen bilgisayarın adını base64 kodlu bir POST isteği aracılığıyla C&C sunucusuna gönderir.

OilRig’in Outer Space kampanyası, dosyaları indirebilen, çalıştırabilen ve aşamalı verileri bağımsız olarak dışarı çıkarabilen basit ama çok yönlü bir arka kapı olan Solar’ı kullanıyor.

Güneş akışı
Solar’ın ilk yürütme akışı (Kaynak – ESET)

OilRig, Juicy Mix’te Solar’ı Mango ile değiştirerek tanıdık bir iş akışını ve yetenekleri paylaşıyor ancak önemli farklılıklar sunuyor.

Mango, Solar gibi her 32 saniyede bir çalışan bir bellek içi görev başlatır, C&C sunucusuyla iletişim kurar ve komutları yürütür. Ancak Mango, Solar’ın Venüs görevini yeni bir sızma komutuyla değiştirerek farklılık gösteriyor.

Uzlaşma sonrası araçlar

Aşağıda, uzlaşma sonrası tüm araçlardan bahsettik: –

  • SampleCheck5000 (SC5k) indiricisi
  • Tarayıcı veri taşıyıcıları
  • Windows Kimlik Bilgisi Yöneticisi hırsızı

OilRig, arka kapı benzeri implantlarla Solar’dan Mango’ya ilerliyor. Veri toplama için özel teknolojiler kullanırken, kullanıcı verilerini elde etmek için hâlâ geleneksel teknikleri kullanıyorlar.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link