ESET araştırmacıları, tamamı İsrail’de bulunan, özel ilgi alanına sahip hedef kuruluşlara erişimi sürdürmek için grubun 2022 boyunca çeşitli kampanyalarda kullandığı, sayısı giderek artan yeni OilRig indiricilerini analiz etti.
Bunlar arasında sağlık sektöründeki bir kuruluş, bir imalat şirketi ve bir yerel devlet kuruluşu yer alıyor. OilRig, merkezinin İran’da olduğuna inanılan bir APT grubudur ve operasyonları, tıpkı bu son indiriciler gibi, siber casusluğu hedeflemektedir.
OilRig indiricilerinin zaman çizelgesi
Yeni hafif indiriciler – SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent ve OilBooster – komuta ve kontrol (C&C) iletişimleri ve veri sızdırma için meşru bulut depolama ve bulut tabanlı e-posta hizmetlerini (Microsoft Graph) kullanmalarıyla dikkat çekiyor OneDrive veya Outlook API’si ve Microsoft Office Exchange Web Hizmetleri API’si.
“OilRig’in araç setinin geri kalanıyla aynı seviyede olan bu indiriciler çok karmaşık değil. Ancak yeni değişkenlerin sürekli geliştirilmesi ve test edilmesi, çeşitli bulut hizmetleri ve farklı programlama dilleri ile denemeler yapılması ve aynı hedeflerden tekrar tekrar ödün verme konusundaki kararlılık, OilRig’i dikkat edilmesi gereken bir grup haline getiriyor,” diyor ESET araştırmacısı Zuzana Kötü amaçlı yazılımı ESET araştırmacısı Adam Burgher ile birlikte analiz eden Hromcová.
ESET, SC5k (v1-v3), OilCheck, ODAgent ve OilBooster’ı yüksek düzeyde bir güvenle OilRig’e atfeder. Bu indiriciler, e-posta tabanlı C&C protokollerini kullanan OilRig araç setine yapılan diğer yeni eklemeler olan MrPerfectionManager ve PowerExchange arka kapılarıyla benzerlikleri paylaşıyor; aradaki fark SC5k, OilBooster, ODAgent ve OilCheck’in kurbanın dahili altyapısı yerine saldırgan tarafından kontrol edilen bulut hizmeti hesaplarını kullanmasıdır. .
ODAgent, OilRig’in vurduğu aynı İsrail şirketine saldırdı
ODAgent indiricisi İsrail’deki bir üretim şirketinin ağında tespit edildi. İlginç bir şekilde aynı kuruluş daha önce OilRig’in SC5k indiricisinden ve daha sonra Nisan ve Haziran 2022 arasında başka bir yeni indirici olan OilCheck’ten etkilenmişti. SC5k ve OilCheck benzer yeteneklere sahip ODAgent ancak C&C iletişimleri için bulut tabanlı e-posta hizmetlerini kullanıyor.
2022 yılı boyunca ESET, önceki OilRig hedeflerinin ağlarında yeni indiricilerin dağıtılmasıyla aynı modelin birçok kez tekrarlandığını gözlemledi: Örneğin, Haziran ile Ağustos 2022 arasında ESET, OilBooster, SC5k v1 ve SC5k v2 indiricilerini ve Köpekbalığı arka kapısı, tamamı İsrail’deki yerel bir hükümet kuruluşunun ağında. Daha sonra ESET, yine OilRig’in önceki kurbanlarından biri olan İsrailli bir sağlık kuruluşunun ağında başka bir SC5k sürümü (v3) tespit etti.
ESET telemetrisine göre OilRig bu indiricileri yalnızca sınırlı sayıda hedefe karşı kullandı ve bunların tümü aylar önce diğer OilRig araçları tarafından ısrarla hedef alındı. Kuruluşların Office 365 kaynaklarına erişmesi yaygın olduğundan, OilRig’in bulut hizmetiyle desteklenen indiricileri, normal ağ trafiği akışına daha kolay karışabilir; görünüşe göre saldırganların bu indiricileri özellikle ilgi çekici küçük bir gruba dağıtmayı seçmelerinin nedeni de budur. , defalarca mağdur edilen hedefler.
APT34, Lyceum, Crambus veya Siamesekitten olarak da bilinen OilRig, en az 2014’ten beri aktif olan ve genel olarak İran merkezli olduğuna inanılan bir siber casusluk grubudur. Grup, Orta Doğu hükümetlerini ve kimya, enerji, finans ve telekomünikasyon dahil olmak üzere çeşitli iş sektörlerini hedef alıyor.