Tehdit aktörleri aşağıdaki avantajları elde etmek için siber casusluğa katılır: –
- Stratejik
- Siyasi
- Ekonomik
- Askeri
Bilgisayar korsanları bunu hedeflenen kuruluşlardan veya ülkelerden aşağıdaki önemli şeyleri çalarak yapar: –
- Gizli veriler
- Fikri mülkiyet
- Gizli bilgi
ESET’teki siber güvenlik araştırmacıları yakın zamanda yeni OilRig indiricilerinin C&C iletişimleri için Microsoft Bulut API’lerini kötüye kullandığını tespit etti.
2014’ten beri aktif olan siber casusluk grubu OilRig, Orta Doğu hükümetlerini ve çeşitli endüstrileri hedef alıyor.
Dikkate değer kampanyalar arasında LinkedIn kullanan DNSpionage (2018-2019) ve HardPass (2019-2020) yer alıyor. 2021’deki güncellemeler arasında DanBot ve yeni arka kapılar (Shark, Milan, Marlin) yer alıyor.
2022-2023’te Solar ve Mango arka kapıları olan İsrail kuruluşlarına yönelik saldırılara odaklanıldı. 2023’te Orta Doğu’da posta kutusu kimlik bilgilerinin toplanması ve dışarı sızması için PowerExchange ve MrPerfectionManager kullanıldı.
OilRig İndiricileri Microsoft Bulutu Kötüye Kullanıyor
Şubat 2022’de OilRig araştırmacıları, Microsoft OneDrive API’yi kullanan yeni bir C#/.NET indiricisi olan ODAgent’ı buldu. Marlin’den farklı olarak ODAgent, dosyaları indirmeye, yürütmeye ve dışarı çıkarmaya odaklanır.
Saldırı, SC5k ve OilCheck ile daha önceki OilRig saldırılarıyla bağlantısı olan İsrailli bir imalat şirketini hedef aldı. OilRig, 2022 yılı boyunca İsrail hükümet ağının tanıdık hedeflerine yeni indiriciler yerleştirdi: –
- Yağ Artırıcı
- SC5k v1
- SC5k v2
- Köpek balığı
Başka bir SC5k (v3), önceki kurbanlardan biri olan İsrail sağlık kuruluşunda ortaya çıktı. SC5k, yük alımını zorlaştıracak (SC5k v2) ve yeni filtreleme özellikleri (SC5k v3) ekleyecek şekilde gelişiyor. Benzerliklere rağmen bu indiriciler şu açılardan farklılık gösterir: –
- Uygulama
- Karmaşıklık
- Zaman içinde taktikler
OilRig, daha önce diğer OilRig araçlarının saldırısına uğrayan indiricilere sahip sınırlı İsrail merkezli kuruluşları hedef alıyor. Bulut tabanlı indiriciler, özellikle Office 365 ortamlarında normal ağ trafiğine sorunsuz bir şekilde uyum sağlar.
SC5k, çalışma zamanında EWS API aracılığıyla uzak bir Exchange sunucusuna bağlanarak saldırganla paylaşılan bir e-posta hesabından yükleri ve komutları alır. Exchange sunucularına sabit kodlanmış URL’ler ve kimlik bilgileri aracılığıyla erişen SC5k çeşitleri mevcuttur.
SC5k, yükler için Taslaklar dizinindeki e-postaları okuyan ve yeni taslaklar oluşturarak dosyaları dışarı çıkaran uzak sunucuda oturum açar. Taslaklar hazırken
SC5k, dosya uzantılarını (v1/v2) veya e-posta özelliklerini (v3) kullanarak operatör ile kötü amaçlı yazılım tarafından oluşturulan taslakları birbirinden ayırır. Gizliliği korumak için sahte “adresler” içeren e-posta taslakları, aşağıdakiler gibi çeşitli amaçlara hizmet eder: –
- Komut yürütme
- Yük alımı
- Dosya sızması
OilRig, 2022 ve 2023’te, C&C iletişimi için meşru bulut tabanlı e-posta hizmeti API’lerinden yararlanan OilCheck ve SC5k gibi araçları tanıttı.
Nisan 2022’de keşfedilen OilCheck, EWS API yerine Microsoft Graph API’yi kullanması nedeniyle SC5k’den ayrılıyor. OilCheck, API isteklerini manuel olarak oluşturur.
Diğer iki OilRig arka kapısı, verileri sızdırmak için e-posta tabanlı C&C’yi tercih ediyor: –
- MrPerfectionManager (Şubat 2023)
- PowerExchange (Ekim 2023)
OilRig, HTTP/DNS’den farklı olarak, geleneksel protokollerden uzaklaşarak gizlilik için bulut hizmetlerini benimser. SC5k ve OilCheck, iletişim için e-posta taslaklarını kullanarak gizli bir yaklaşım sağlayarak ortak Exchange hesapları kullanıyor.
Ancak bunun dışında OilRig, kötü niyetli faaliyetlerini gizleyerek alternatif protokoller denemeye devam ediyor.
2022’de OilRig, yalnızca İsrail hedeflerine yönelik yeni indiricileri tanıttı ve ısrarla aynı hedeflere ulaştı.
Tüm bu hafif ancak güçlü araçlar, MrPerfectionManager ve PowerExchange’te görülen dahili altyapı kullanımından farklı olarak bulut hizmeti hesaplarını tercih eder: –
- SC5k
- Yağ Artırıcı
- RKY Temsilcisi
- Yağ Kontrolü
OilRig’in bulut tabanlı C&C kanallarına geçişi, kötü niyetli faaliyetlerini ve ağ altyapısını gizlemeye yönelik devam eden bir stratejiye işaret ediyor.