OilRig, 2015’ten beri aktif olan, İran bağlantılı bir siber casusluk grubudur ve bu grup, gelişmiş hedef odaklı kimlik avı kampanyaları ve gelişmiş sızma teknikleriyle tanınır.
Bu grup, çeşitli sektörlere yönelik çok sayıda siber saldırı gerçekleştiriyor ve bunların arasında en çok gerçekleştirilenler arasında istihbarat toplama, gözetleme ve yüksek profilli siber saldırılar yer alıyor.
Bunun yanı sıra, Cyble’daki siber güvenlik araştırmacıları yakın zamanda OilRig korsanlarının Orta Doğu’daki İran çıkarlarıyla bağlantılı kuruluşlara ve kuruluşlara aktif olarak saldırdığını tespit etti.
Grup, tespit edilmekten kaçınmak için araçlarını sürekli olarak geliştiriyor ve operasyonlarını fidye yazılımı ve veri silme gibi yıkıcı saldırıları içerecek şekilde genişletiyor.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
OilRig Hackerları Bireylere Saldırıyor
OilRig çeşitli bölgelerde 20’den fazla ülkeyi hedefliyor: –
.webp)
Aşağıdakiler de dahil olmak üzere çeşitli sektörlere saldırıyor:
- Uzay ve Savunma
- BFSI
- Kimyasallar
- Eğitim
- Enerji ve Kamu Hizmetleri
- Hükümet ve LEA
- Misafirperverlik
- BT ve ITES
- Teknoloji
- Telekomünikasyon
Grup, genellikle hedef odaklı kimlik avı ile başlayan veya veri sızdırma amacıyla kötü amaçlı yazılım dağıtmak için halka açık uygulamalardan yararlanan özelleştirilebilir saldırı vektörleri kullanıyor.
OilRig’in Greenbug ile bağlantıları olduğundan şüpheleniliyor ve yama yapılmamış SharePoint sunucularından yararlandığı biliniyor. Kapsamlı erişimi ve uyarlanabilir taktikleri, onu siber casusluk ortamında önemli bir tehdit haline getiriyor.
OilRig grubu, Cambridge Üniversitesi Üyeleri gibi davranarak LinkedIn tabanlı kimlik avı saldırılarından yararlandı ve CVE-2019-0604 ve CVE-2017-11882 gibi halihazırda bilinen güvenlik açıklarından yararlandı.
.webp)
Kalıcılık sağlamak için OilRig, kötü amaçlı yükleyiciler, VBScript veya zamanlanmış görevler kullanır. Cephanelikleri ayrıca Alma Communicator ve BONDUPDATER gibi çeşitli RAT’ları da içeriyor.
Cyble raporunda belirtildiği gibi grup aynı zamanda operasyonlarında kamuya açık uygulamalara saldırmak için arazide yaşama taktiklerini de kullanıyor.
Bunu, önceki saldırılardan elde edilen IP’leri ve etki alanlarını birbirine bağlayarak yapıyorlar; bu da, grubun birçok sektörü etkileyen sürekli bir tehdit olarak gelişimini aydınlatmalarına yardımcı oluyor.
Aşağıda kullanılan tüm araçlardan bahsettik: –
- Alma İletişimcisi
- BAĞ GÜNCELLEYİCİ
- Toprak kayması
- DistTrack
- DNSExfitrator
- DNS casusluğu
- Çöp Adam
- Tilki Paneli
- Helmint
- ISMAgent
- ISMKapı
- ISMMenjektör
- Karkoff
- Taklitçi
- LaZagne
- ASLANLAR
- UZUN İZLEME
- Yan Bükülme
- Nöron
- Nautilus
- YANKESİCİ
- Plink
- PSList
- RDAT
- Saitama
- Casus Not RAT
- MÜZİK KULAĞI OLMAYAN
OilRig, siber casusluk konusunda uzman bir grup elit bilgisayar korsanından oluşuyor. Çeşitli yöntemler kullanarak gizli C&C iletişiminde uzmanlaşırlar.
Gizli ağ iletişimleri için hedefli değişim sunucuları, HTPSnoop implantları, HTTP ve DNS sorguları ve protokol tünelleme geliştirdiler.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Düzenli yazılım yaması
- Gelişmiş e-posta güvenliği
- Sağlam ağ izleme
- Gelişmiş uç nokta koruması
- Sıkı erişim kontrolü
- Kapsamlı olay müdahale planı
- Tehdit istihbaratını kullanın
- Sürekli çalışan siber güvenlik eğitimi
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free