Οι ερευνητές της ESET ανέλυσαν δύο εκστρατείες της ομάδας OilRig APT: Outer Space (2021) και Juicy Mix (2022). Και οι δύο αυτές εκστρατείες κυβερνοκατασκοπείας στόχευαν αποκλειστικά ισραηλινές οργανώσεις, κάτι που είναι σύμφωνο με την εστίαση της ομάδας στη Μέση Ανατολή, και χρησιμοποίησαν τον ίδιο οδηγό: η OilRig αρχικά παραβίασε έναν νόμιμο ιστότοπο για να χρησιμοποιηθεί ως διακομιστής C&C και στη συνέχεια χρησιμοποίησε droppers VBS για να παραδώσει ένα C# /.NET backdoor στα θύματά του, ενώ αναπτύσσει επίσης μια ποικιλία εργαλείων μετά τον συμβιβασμό που χρησιμοποιούνται κυρίως για την εξαγωγή δεδομένων στα συστήματα-στόχους.
Στην καμπάνια του Outer Space, η OilRig χρησιμοποίησε μια απλή, προηγουμένως μη τεκμηριωμένη κερκόπορτα C#/.NET που ονομάσαμε Solar, μαζί με ένα νέο πρόγραμμα λήψης, το SampleCheck5000 (ή SC5k), που χρησιμοποιεί το Microsoft Office Exchange Web Services API για επικοινωνία C&C. Για την καμπάνια Juicy Mix, οι παράγοντες απειλών βελτίωσαν τη Solar για να δημιουργήσουν την κερκόπορτα Mango, η οποία διαθέτει πρόσθετες δυνατότητες και μεθόδους συσκότισης. Εκτός από τον εντοπισμό του κακόβουλου συνόλου εργαλείων, ειδοποιήσαμε επίσης την ισραηλινή CERT για τους παραβιασμένους ιστότοπους.
Βασικά σημεία αυτής της ανάρτησης ιστολογίου:
- Η ESET παρατήρησε δύο εκστρατείες OilRig που πραγματοποιήθηκαν το 2021 (Outer Space) και το 2022 (Juicy Mix).
- Οι φορείς εκμετάλλευσης στόχευαν αποκλειστικά ισραηλινούς οργανισμούς και παραβίασαν νόμιμες ισραηλινές ιστοσελίδες για χρήση στις επικοινωνίες C&C τους.
- Χρησιμοποίησαν μια νέα, προηγουμένως μη τεκμηριωμένη κερκόπορτα πρώτου σταδίου C#/.NET σε κάθε καμπάνια: Solar in Outer Space και μετά το διάδοχό του Mango στο Juicy Mix.
- Και τα δύο backdoors αναπτύχθηκαν από VBS droppers, τα οποία προφανώς διαδόθηκαν μέσω email ψαρέματος (spearphishing).
- Μια ποικιλία εργαλείων μετά τον συμβιβασμό αναπτύχθηκε και στις δύο καμπάνιες, ιδίως το πρόγραμμα λήψης SC5k που χρησιμοποιεί το Microsoft Office Exchange Web Services API για επικοινωνία C&C και πολλά εργαλεία για την κλοπή δεδομένων και διαπιστευτηρίων του προγράμματος περιήγησης από το Windows Credential Manager.
Η OilRig, γνωστή και ως APT34, Lyceum, ή Siamesekitten, είναι μια ομάδα κυβερνοκατασκοπείας που δραστηριοποιείται τουλάχιστον από το 2014 και είναι κοινώς πιστεύεται να έχει έδρα στο Ιράν. Η ομάδα στοχεύει κυβερνήσεις της Μέσης Ανατολής και μια ποικιλία επιχειρηματικών κλάδων, συμπεριλαμβανομένων των χημικών, της ενέργειας, των χρηματοοικονομικών και των τηλεπικοινωνιών. Η OilRig πραγματοποίησε την εκστρατεία DNSpionage στο 2018 και 2019, που στόχευε θύματα στον Λίβανο και τα Ηνωμένα Αραβικά Εμιράτα. Το 2019 και το 2020, η OilRig συνέχισε τις επιθέσεις με το HardPass εκστρατεία, η οποία χρησιμοποίησε το LinkedIn για να στοχεύσει θύματα της Μέσης Ανατολής στον ενεργειακό και κυβερνητικό τομέα. Το 2021, η OilRig το ενημέρωσε DanBot backdoor και άρχισε να αναπτύσσει το Καρχαρίας, Μιλάνο, και Marlin backdoors, που αναφέρονται στο Τ3 2021 τεύχος της Έκθεσης Απειλής της ESET.
Σε αυτήν την ανάρτηση ιστολογίου, παρέχουμε τεχνική ανάλυση των κερκόπορτων Solar και Mango, του σταγονόμετρου VBS που χρησιμοποιείται για την παράδοση του Mango και των εργαλείων μετά τον συμβιβασμό που αναπτύσσονται σε κάθε καμπάνια.
απόδοση
Ο αρχικός σύνδεσμος που μας επέτρεψε να συνδέσουμε την καμπάνια του Outer Space με την OilRig είναι η χρήση του ίδιου προσαρμοσμένου ανατρεπόμενου μηχανήματος δεδομένων Chrome (που παρακολουθείται από ερευνητές της ESET με το όνομα MKG) όπως στο Εκστρατεία Out to Sea. Παρατηρήσαμε το Solar backdoor να αναπτύσσει το ίδιο δείγμα MKG όπως στο Out to Sea στο σύστημα του στόχου, μαζί με δύο άλλες παραλλαγές.
Εκτός από την επικάλυψη στα εργαλεία και τη στόχευση, είδαμε επίσης πολλές ομοιότητες μεταξύ του Solar backdoor και των backdoor που χρησιμοποιούνται στο Out to Sea, που σχετίζονται κυρίως με τη μεταφόρτωση και τη λήψη: τόσο η Solar όσο και η Shark, μια άλλη κερκόπορτα OilRig, χρησιμοποιούν URI με απλά σχήματα μεταφόρτωσης και λήψης για επικοινωνία με τον διακομιστή C&C, με ένα "d" για λήψη και ένα "u" για μεταφόρτωση. Επιπλέον, το πρόγραμμα λήψης SC5k χρησιμοποιεί υποκαταλόγους μεταφορτώσεων και λήψεων όπως και άλλα backdoors της OilRig, δηλαδή τα ALMA, Shark, DanBot και Milan. Αυτά τα ευρήματα χρησιμεύουν ως περαιτέρω επιβεβαίωση ότι ο ένοχος πίσω από το Διάστημα είναι όντως η OilRig.
Όσον αφορά τους δεσμούς της καμπάνιας Juicy Mix με την OilRig, εκτός από τη στόχευση ισραηλινών οργανώσεων – κάτι που είναι χαρακτηριστικό για αυτήν την κατασκοπευτική ομάδα – υπάρχουν ομοιότητες κώδικα μεταξύ του Mango, του backdoor που χρησιμοποιείται σε αυτήν την εκστρατεία, και της Solar. Επιπλέον, και οι δύο κερκόπορτες αναπτύχθηκαν από σταγονόμετρα VBS με την ίδια τεχνική συσκότισης χορδών. Η επιλογή των εργαλείων μετά τον συμβιβασμό που χρησιμοποιούνται στο Juicy Mix αντικατοπτρίζει επίσης προηγούμενες καμπάνιες OilRig.
Επισκόπηση καμπάνιας για το Outer Space
Ονομάστηκε για τη χρήση ενός σχήματος ονοματοδοσίας που βασίζεται στην αστρονομία στα ονόματα και τις εργασίες του, το Outer Space είναι μια καμπάνια OilRig από το 2021. Σε αυτήν την καμπάνια, η ομάδα παραβίασε έναν ιστότοπο ανθρώπινου δυναμικού του Ισραήλ και στη συνέχεια τον χρησιμοποίησε ως διακομιστή C&C για το προηγούμενο χωρίς έγγραφα C#/.NET backdoor, Solar. Το Solar είναι ένα απλό backdoor με βασικές λειτουργίες όπως ανάγνωση και εγγραφή από δίσκο και συλλογή πληροφοριών.
Μέσω της Solar, η ομάδα ανέπτυξε στη συνέχεια ένα νέο πρόγραμμα λήψης SC5k, το οποίο χρησιμοποιεί το Office Exchange Web Services API για τη λήψη πρόσθετων εργαλείων για εκτέλεση, όπως φαίνεται στο REF _Ref142655526 h Εικόνα 1
. Προκειμένου να διεισδύσει τα δεδομένα του προγράμματος περιήγησης από το σύστημα του θύματος, η OilRig χρησιμοποίησε ένα ανατρεπόμενο σύστημα δεδομένων Chrome που ονομάζεται MKG.
Επισκόπηση καμπάνιας Juicy Mix
Το 2022 η OilRig ξεκίνησε μια άλλη εκστρατεία με στόχο ισραηλινούς οργανισμούς, αυτή τη φορά με ένα ενημερωμένο σύνολο εργαλείων. Ονομάσαμε την καμπάνια Juicy Mix για τη χρήση μιας νέας κερκόπορτας OilRig, Mango (με βάση το όνομα της εσωτερικής συναρμολόγησης και το όνομα αρχείου της, Mango.exe). Σε αυτήν την εκστρατεία, οι παράγοντες της απειλής παραβίασαν μια νόμιμη ισραηλινή πύλη εργασίας για χρήση σε επικοινωνίες C&C. Στη συνέχεια, τα κακόβουλα εργαλεία της ομάδας χρησιμοποιήθηκαν εναντίον μιας οργάνωσης υγειονομικής περίθαλψης, η οποία επίσης εδρεύει στο Ισραήλ.
Το backdoor πρώτου σταδίου Mango είναι ο διάδοχος του Solar, γραμμένο επίσης σε C#/.NET, με αξιοσημείωτες αλλαγές που περιλαμβάνουν δυνατότητες εξαγωγής, χρήση εγγενών API και προστιθέμενο κώδικα αποφυγής εντοπισμού.
Μαζί με το Mango, εντοπίσαμε επίσης δύο προηγούμενα μη τεκμηριωμένα ανατρεπόμενα δεδομένα προγράμματος περιήγησης που χρησιμοποιούνται για την κλοπή cookies, ιστορικού περιήγησης και διαπιστευτηρίων από τα προγράμματα περιήγησης Chrome και Edge, καθώς και έναν κλοπή του Windows Credential Manager, τα οποία αποδίδουμε όλα στην OilRig. Αυτά τα εργαλεία χρησιμοποιήθηκαν όλα εναντίον του ίδιου στόχου με το Mango, καθώς και σε άλλους παραβιασμένους ισραηλινούς οργανισμούς το 2021 και το 2022. REF _Ref125475515 h Εικόνα 2
δείχνει μια επισκόπηση του τρόπου με τον οποίο χρησιμοποιήθηκαν τα διάφορα στοιχεία στην καμπάνια Juicy Mix.
Τεχνική ανάλυση
Σε αυτήν την ενότητα, παρέχουμε μια τεχνική ανάλυση των κερκόπορτων Solar και Mango και του προγράμματος λήψης SC5k, καθώς και άλλων εργαλείων που χρησιμοποιήθηκαν στα στοχευμένα συστήματα σε αυτές τις καμπάνιες.
Σταγονόμετρα VBS
Για να εδραιωθεί στο σύστημα του στόχου, χρησιμοποιήθηκαν σταγονόμετρα Visual Basic Script (VBS) και στις δύο καμπάνιες, τα οποία είναι πολύ πιθανό να διαδόθηκαν από μηνύματα ηλεκτρονικού ψαρέματος (spearphishing). Η ανάλυσή μας παρακάτω εστιάζει στο σενάριο VBS που χρησιμοποιείται για την απόρριψη του Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A) Σημειώστε ότι το σταγονόμετρο της Solar μοιάζει πολύ.
Ο σκοπός του dropper είναι να παραδώσει την ενσωματωμένη κερκόπορτα Mango, να προγραμματίσει μια εργασία για επιμονή και να καταχωρήσει τον συμβιβασμό στον διακομιστή C&C. Η ενσωματωμένη κερκόπορτα αποθηκεύεται ως μια σειρά από υποσυμβολοσειρές base64, οι οποίες συνδέονται και αποκωδικοποιούνται το base64. Όπως φαίνεται στο REF _Ref125477632 h Εικόνα 3
, το σενάριο χρησιμοποιεί επίσης μια απλή τεχνική απεμπλοκής συμβολοσειρών, όπου οι συμβολοσειρές συναρμολογούνται χρησιμοποιώντας αριθμητικές πράξεις και Χρ λειτουργία.
Επιπλέον, το σταγονόμετρο VBS της Mango προσθέτει έναν άλλο τύπο συσκότισης συμβολοσειράς και κώδικα για να ρυθμίσετε την επιμονή και να εγγραφείτε στον διακομιστή C&C. Όπως φαίνεται στο REF _Ref125479004 h * MERGEFORMAT Εικόνα 4
, για να αποσυμφορηθούν ορισμένες συμβολοσειρές, το σενάριο αντικαθιστά τυχόν χαρακτήρες στο σύνολο #*+-_)(}{@$%^& με 0, στη συνέχεια διαιρεί τη συμβολοσειρά σε τριψήφιους αριθμούς που στη συνέχεια μετατρέπονται σε χαρακτήρες ASCII χρησιμοποιώντας το Χρ
λειτουργία. Για παράδειγμα, η χορδή 116110101109117+99111$68+77{79$68}46-50108109120115}77 μεταφράζεται σε Msxml2.DOMDdocument.
Μόλις η κερκόπορτα ενσωματωθεί στο σύστημα, το σταγονόμετρο προχωρά για να δημιουργήσει μια προγραμματισμένη εργασία που εκτελεί το Mango (ή το Solar, στην άλλη έκδοση) κάθε 14 λεπτά. Τέλος, το σενάριο στέλνει ένα κωδικοποιημένο με βάση 64 όνομα του παραβιασμένου υπολογιστή μέσω ενός αιτήματος POST για την εγγραφή της κερκόπορτας στον διακομιστή C&C του.
Ηλιακή κερκόπορτα
Το Solar είναι η κερκόπορτα που χρησιμοποιείται στην εκστρατεία της OilRig για το διάστημα. Διαθέτοντας βασικές λειτουργίες, αυτό το backdoor μπορεί να χρησιμοποιηθεί, μεταξύ άλλων, για τη λήψη και εκτέλεση αρχείων και την αυτόματη εξαγωγή σταδιακών αρχείων.
Επιλέξαμε το όνομα Solar με βάση το όνομα αρχείου που χρησιμοποιεί η OilRig, Solar.exe. Είναι ένα κατάλληλο όνομα, καθώς το backdoor χρησιμοποιεί ένα σχήμα ονοματοδοσίας αστρονομίας για τα ονόματα των συναρτήσεων και τις εργασίες του που χρησιμοποιούνται σε όλο το δυαδικό αρχείο (Ερμής, Αφροδίτη, Μάρτιος, Γη, να Δίας).
Η Solar ξεκινά την εκτέλεση εκτελώντας τα βήματα που φαίνονται στο REF _Ref98146919 h * MERGEFORMAT Εικόνα 5
.
Η κερκόπορτα δημιουργεί δύο εργασίες, Γη
και Αφροδίτη, που τρέχουν στη μνήμη. Δεν υπάρχει λειτουργία διακοπής για καμία από τις δύο εργασίες, επομένως θα εκτελούνται επ 'αόριστον. Γη
έχει προγραμματιστεί να εκτελείται κάθε 30 δευτερόλεπτα και Αφροδίτη
έχει ρυθμιστεί να εκτελείται κάθε 40 δευτερόλεπτα.
Γη είναι το πρωταρχικό καθήκον, υπεύθυνο για το μεγαλύτερο μέρος των λειτουργιών της Solar. Επικοινωνεί με τον διακομιστή C&C χρησιμοποιώντας τη λειτουργία MercuryToSun, το οποίο στέλνει βασικές πληροφορίες έκδοσης συστήματος και κακόβουλου λογισμικού στον διακομιστή C&C και στη συνέχεια χειρίζεται την απόκριση του διακομιστή. Γη στέλνει τις ακόλουθες πληροφορίες στον διακομιστή C&C:
- Η χορδή (@); ολόκληρη η συμβολοσειρά είναι κρυπτογραφημένη.
- Η χορδή 1.0.0.0, κρυπτογραφημένο (πιθανόν αριθμός έκδοσης).
- Η χορδή 30000, κρυπτογραφημένο (πιθανώς ο προγραμματισμένος χρόνος εκτέλεσης του Γη
Η κρυπτογράφηση και η αποκρυπτογράφηση υλοποιούνται σε συναρτήσεις που ονομάζονται Δίας Ε
και JupiterD, αντίστοιχα. Και οι δύο καλούν μια συνάρτηση με το όνομα JupiterX, το οποίο υλοποιεί έναν βρόχο XOR όπως φαίνεται στο REF _Ref98146962 h Εικόνα 6
.
Το κλειδί προέρχεται από μια καθολική μεταβλητή συμβολοσειράς με σκληρό κώδικα, 6sEj7*0B7#7, και ένα πρεσβευτής του παπά: σε αυτήν την περίπτωση, μια τυχαία δεκαεξαδική συμβολοσειρά μήκους 2–24 χαρακτήρων. Μετά την κρυπτογράφηση XOR, εφαρμόζεται η τυπική κωδικοποίηση base64.
Ο διακομιστής ιστού μιας ισραηλινής εταιρείας ανθρώπινου δυναμικού, τον οποίο η OilRig παραβίασε κάποια στιγμή πριν αναπτύξει τη Solar, χρησιμοποιήθηκε ως διακομιστής C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Πριν προσαρτηθεί στο URI, το nonce κρυπτογράφησης κρυπτογραφείται και η τιμή της αρχικής συμβολοσειράς ερωτήματος, rt, Έχει οριστεί d εδώ, πιθανότατα για "λήψη".
Το τελευταίο βήμα του MercuryToSun
Η λειτουργία είναι η επεξεργασία μιας απάντησης από τον διακομιστή C&C. Αυτό το κάνει ανακτώντας μια υποσυμβολοσειρά της απάντησης, η οποία βρίσκεται ανάμεσα στους χαρακτήρες QQ@ και @kk. Αυτή η απάντηση είναι μια σειρά από οδηγίες που χωρίζονται με αστερίσκους (*) που υποβάλλεται σε επεξεργασία σε πίνακα. Γη
στη συνέχεια εκτελεί τις εντολές backdoor, οι οποίες περιλαμβάνουν τη λήψη πρόσθετων ωφέλιμων φορτίων από τον διακομιστή, την καταχώριση αρχείων στο σύστημα του θύματος και την εκτέλεση συγκεκριμένων εκτελέσιμων αρχείων.
Στη συνέχεια, η έξοδος εντολών συμπιέζεται με το gzip χρησιμοποιώντας τη συνάρτηση Ποσειδώνας
και κρυπτογραφημένο με το ίδιο κλειδί κρυπτογράφησης και ένα νέο nonce. Στη συνέχεια, τα αποτελέσματα μεταφορτώνονται στον διακομιστή C&C, ως εκ τούτου:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid και τα νέα nonce κρυπτογραφούνται με το Δίας Ε
συνάρτηση, και εδώ η τιμή του rt έχει οριστεί σε u, πιθανόν για "μεταφόρτωση".
Αφροδίτη, η άλλη προγραμματισμένη εργασία, χρησιμοποιείται για την αυτοματοποιημένη εξαγωγή δεδομένων. Αυτή η μικρή εργασία αντιγράφει το περιεχόμενο των αρχείων από έναν κατάλογο (που ονομάζεται επίσης Αφροδίτη) στον διακομιστή C&C. Αυτά τα αρχεία πιθανότατα απορρίπτονται εδώ από κάποιο άλλο, άγνωστο ακόμη, εργαλείο OilRig. Μετά τη μεταφόρτωση ενός αρχείου, η εργασία το διαγράφει από το δίσκο.
Πίσω πόρτα μάνγκο
Για την καμπάνια Juicy Mix, η OilRig άλλαξε από το Solar backdoor στο Mango. Έχει παρόμοια ροή εργασίας με την ηλιακή και αλληλεπικαλυπτόμενες δυνατότητες, αλλά υπάρχουν ωστόσο αρκετές αξιοσημείωτες αλλαγές:
- Χρήση TLS για επικοινωνίες C&C.
- Χρήση εγγενών API, αντί για API .NET, για την εκτέλεση αρχείων και εντολών φλοιού.
- Αν και δεν χρησιμοποιήθηκε ενεργά, εισήχθη κώδικας αποφυγής εντοπισμού.
- Υποστήριξη για αυτοματοποιημένη διήθηση (Αφροδίτη
- Η υποστήριξη για τη λειτουργία καταγραφής έχει αφαιρεθεί και τα ονόματα συμβόλων έχουν μπερδευτεί.
Σε αντίθεση με το σχέδιο ονοματοδοσίας της Solar με θέμα την αστρονομία, το Mango συσκοτίζει τα ονόματα των συμβόλων του, όπως φαίνεται στο REF _Ref142592880 h Εικόνα 7
.
Εκτός από τη συσκότιση του ονόματος συμβόλου, το Mango χρησιμοποιεί επίσης τη μέθοδο στοίβαξης συμβολοσειρών (όπως φαίνεται στο REF _Ref142592892 h Εικόνα 8
REF _Ref141802299 h
) για τη συσκότιση των συμβολοσειρών, γεγονός που περιπλέκει τη χρήση απλών μεθόδων ανίχνευσης.
Παρόμοια με την Solar, η κερκόπορτα Mango ξεκινά δημιουργώντας μια εργασία στη μνήμη, η οποία έχει προγραμματιστεί να εκτελείται επ' αόριστον κάθε 32 δευτερόλεπτα. Αυτή η εργασία επικοινωνεί με τον διακομιστή C&C και εκτελεί εντολές backdoor, παρόμοιες με αυτές της Solar Γη
έργο. Ενώ η Solar δημιουργεί επίσης Αφροδίτη, μια εργασία για αυτοματοποιημένη διήθηση, αυτή η λειτουργία έχει αντικατασταθεί στο Mango από μια νέα εντολή backdoor.
Στην κύρια εργασία, το Mango δημιουργεί πρώτα ένα αναγνωριστικό θύματος, , για χρήση σε επικοινωνίες C&C. Το αναγνωριστικό υπολογίζεται ως κατακερματισμός MD5 του , μορφοποιημένη ως δεκαεξαδική συμβολοσειρά.
Για να ζητήσει μια εντολή backdoor, το Mango στέλνει τη συμβολοσειρά ρε@ @ | στον διακομιστή C&C http://www.darush.co[.]il/ads.asp – μια νόμιμη ισραηλινή πύλη θέσεων εργασίας, που πιθανότατα είχε παραβιαστεί από την OilRig πριν από αυτήν την εκστρατεία. Ενημερώσαμε τον εθνικό οργανισμό CERT του Ισραήλ για τον συμβιβασμό.
Το σώμα του αιτήματος είναι κατασκευασμένο ως εξής:
- Τα δεδομένα που θα μεταδοθούν είναι κρυπτογραφημένα XOR χρησιμοποιώντας το κλειδί κρυπτογράφησης Q&4g, στη συνέχεια κωδικοποιήθηκε το base64.
- Μια ψευδοτυχαία συμβολοσειρά 3–14 χαρακτήρων δημιουργείται από αυτό το αλφάβητο (όπως εμφανίζεται στον κώδικα): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Τα κρυπτογραφημένα δεδομένα εισάγονται σε μια ψευδοτυχαία θέση μέσα στη συμβολοσειρά που δημιουργείται, που περικλείεται μεταξύ [@ και @] οριοθέτες.
Για να επικοινωνήσει με τον διακομιστή C&C, η Mango χρησιμοποιεί το πρωτόκολλο TLS (Transport Layer Security), το οποίο χρησιμοποιείται για την παροχή ενός πρόσθετου επιπέδου κρυπτογράφησης.
Ομοίως, η εντολή backdoor που λαμβάνεται από τον διακομιστή C&C είναι κρυπτογραφημένη XOR, κωδικοποιημένη base64 και στη συνέχεια περικλείεται μεταξύ [@ και @] εντός του σώματος απόκρισης HTTP. Η ίδια η εντολή είναι είτε NCNT
(στην περίπτωση αυτή δεν γίνεται καμία ενέργεια) ή μια σειρά από πολλές παραμέτρους που οριοθετούνται από
@, όπως περιγράφεται αναλυτικά στο REF _Ref125491491 h Τραπέζι 1
, το οποίο παραθέτει τις εντολές backdoor του Mango. Σημειώστε ότι δεν παρατίθεται στον πίνακα, αλλά χρησιμοποιείται στην απόκριση στον διακομιστή C&C.
Πίνακας 1. Λίστα των εντολών της κερκόπορτας του Mango
arg1 |
arg2 |
arg3 |
Μέτρα που ελήφθησαν |
Τιμή επιστροφής |
|
1 ή κενή συμβολοσειρά |
+sp |
N / A |
Εκτελεί την καθορισμένη εντολή αρχείου/φλοιού (με τα προαιρετικά ορίσματα), χρησιμοποιώντας το εγγενές Δημιουργία επεξεργασίας Εισαγωγή API μέσω DllImport. Αν τα επιχειρήματα περιέχουν [μικρό], αντικαθίσταται από C: WindowsSystem32. |
Έξοδος εντολών. |
|
+nu |
N / A |
Επιστρέφει τη συμβολοσειρά έκδοσης κακόβουλου λογισμικού και τη διεύθυνση URL C&C. |
|; σε αυτήν την περίπτωση: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+φλ |
N / A |
Απαριθμεί το περιεχόμενο του καθορισμένου καταλόγου (ή του τρέχοντος καταλόγου εργασίας). |
Κατάλογος του Για κάθε υποκατάλογο:
Για κάθε αρχείο: ΑΡΧΕΙΟ Σκηνοθέτες Αρχείο(α) |
||
+dn |
N / A |
Μεταφορτώνει το περιεχόμενο του αρχείου στον διακομιστή C&C μέσω ενός νέου αιτήματος HTTP POST με μορφή: u@ @ | @ @2@. |
Ενας από: · αρχείο[ ] μεταφορτώνεται στον διακομιστή. · το αρχείο δε βρέθηκε! · κενή διαδρομή αρχείου! |
||
2 |
Δεδομένα με κωδικοποίηση Base64 |
Όνομα |
Μεταφέρει τα καθορισμένα δεδομένα σε ένα αρχείο στον κατάλογο εργασίας. |
αρχείο που λήφθηκε στη διαδρομή[ ] |
Κάθε εντολή backdoor αντιμετωπίζεται σε ένα νέο νήμα και οι επιστρεφόμενες τιμές τους κωδικοποιούνται στη συνέχεια βάσει64 και συνδυάζονται με άλλα μεταδεδομένα. Τέλος, αυτή η συμβολοσειρά αποστέλλεται στον διακομιστή C&C χρησιμοποιώντας το ίδιο πρωτόκολλο και μέθοδο κρυπτογράφησης όπως περιγράφεται παραπάνω.
Αχρησιμοποίητη τεχνική διαφυγής ανίχνευσης
Είναι ενδιαφέρον ότι βρήκαμε ένα αχρησιμοποίητο τεχνική αποφυγής εντοπισμού μέσα στο Mango. Η συνάρτηση που είναι υπεύθυνη για την εκτέλεση αρχείων και εντολών που λαμβάνονται από τον διακομιστή C&C λαμβάνει μια προαιρετική δεύτερη παράμετρο - ένα αναγνωριστικό διεργασίας. Εάν έχει οριστεί, το Mango χρησιμοποιεί στη συνέχεια το UpdateProcThreadAttribute
API για να ορίσετε το PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) χαρακτηριστικό για την καθορισμένη διεργασία στην τιμή: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), όπως φαίνεται στο REF _Ref125480118 h Εικόνα 9
.
Ο στόχος αυτής της τεχνικής είναι να εμποδίσει τις λύσεις ασφάλειας τελικού σημείου να φορτώσουν τα άγκιστρα κώδικα λειτουργίας χρήστη μέσω ενός DLL σε αυτήν τη διαδικασία. Αν και η παράμετρος δεν χρησιμοποιήθηκε στο δείγμα που αναλύσαμε, θα μπορούσε να ενεργοποιηθεί σε μελλοντικές εκδόσεις.
Έκδοση 1.1.1
Χωρίς να σχετίζεται με την καμπάνια Juicy Mix, τον Ιούλιο του 2023 βρήκαμε μια νέα έκδοση του backdoor Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), μεταφορτώθηκε στο VirusTotal από πολλούς χρήστες με το όνομα Menorah.exe. Η εσωτερική έκδοση σε αυτό το δείγμα άλλαξε από 1.0.0 σε 1.1.1, αλλά η μόνη αξιοσημείωτη αλλαγή είναι η χρήση διαφορετικού διακομιστή C&C, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Μαζί με αυτήν την έκδοση, ανακαλύψαμε επίσης ένα έγγραφο του Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) με μια κακόβουλη μακροεντολή που ρίχνει την κερκόπορτα. REF _Ref143162004 h Εικόνα 10
εμφανίζει το ψεύτικο προειδοποιητικό μήνυμα, που δελεάζει τον χρήστη να ενεργοποιήσει τις μακροεντολές για το έγγραφο και το περιεχόμενο δόλωμα που εμφανίζεται στη συνέχεια, ενώ ο κακόβουλος κώδικας εκτελείται στο παρασκήνιο.
Εικόνα 10. Έγγραφο του Microsoft Word με μια κακόβουλη μακροεντολή που ρίχνει το Mango v1.1.1
Εργαλεία μετά τον συμβιβασμό
Σε αυτήν την ενότητα, εξετάζουμε μια επιλογή εργαλείων μετά τον συμβιβασμό που χρησιμοποιούνται στις καμπάνιες Outer Space και Juicy Mix της OilRig, με στόχο τη λήψη και την εκτέλεση πρόσθετων ωφέλιμων φορτίων και την κλοπή δεδομένων από τα παραβιασμένα συστήματα.
Πρόγραμμα λήψης SampleCheck5000 (SC5k).
Το SampleCheck5000 (ή SC5k) είναι ένα πρόγραμμα λήψης που χρησιμοποιείται για τη λήψη και την εκτέλεση πρόσθετων εργαλείων OilRig, αξιοσημείωτο για τη χρήση του Microsoft Office Exchange Web Services API για επικοινωνία C&C: οι εισβολείς δημιουργούν πρόχειρα μηνύματα σε αυτόν τον λογαριασμό email και αποκρύπτουν τις εντολές της κερκόπορτας εκεί. Στη συνέχεια, το πρόγραμμα λήψης συνδέεται στον ίδιο λογαριασμό και αναλύει τα πρόχειρα για να ανακτήσει εντολές και ωφέλιμα φορτία για εκτέλεση.
Το SC5k χρησιμοποιεί προκαθορισμένες τιμές – Microsoft Exchange URL, διεύθυνση email και κωδικό πρόσβασης – για να συνδεθείτε στον απομακρυσμένο διακομιστή Exchange, αλλά υποστηρίζει επίσης την επιλογή παράκαμψης αυτών των τιμών χρησιμοποιώντας ένα αρχείο διαμόρφωσης στον τρέχοντα κατάλογο εργασίας με το όνομα ρύθμιση.κλειδί. Επιλέξαμε το όνομα SampleCheck5000 με βάση μία από τις διευθύνσεις email που χρησιμοποιούσε το εργαλείο στην καμπάνια του Outer Space.
Μόλις το SC5k συνδεθεί στον απομακρυσμένο διακομιστή Exchange, ανακτά όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου στο Πρόχειρα
καταλόγου, τα ταξινομεί με βάση τα πιο πρόσφατα, διατηρώντας μόνο τα πρόχειρα που έχουν συνημμένα. Στη συνέχεια, επαναλαμβάνεται σε κάθε πρόχειρο μήνυμα με ένα συνημμένο, αναζητώντας συνημμένα JSON που περιέχουν "δεδομένα" στο σώμα. Εξάγει την τιμή από το κλειδί ημερομηνία στο αρχείο JSON, το base64 αποκωδικοποιεί και αποκρυπτογραφεί την τιμή και καλεί cmd.exe για να εκτελέσετε τη συμβολοσειρά της γραμμής εντολών που προκύπτει. Στη συνέχεια, το SC5k αποθηκεύει την έξοδο του cmd.exe
εκτέλεση σε μια τοπική μεταβλητή.
Ως το επόμενο βήμα στον βρόχο, ο πρόγραμμα λήψης αναφέρει τα αποτελέσματα στους χειριστές OilRig δημιουργώντας ένα νέο μήνυμα email στον διακομιστή Exchange και αποθηκεύοντάς το ως πρόχειρο (όχι αποστολή), όπως φαίνεται στο REF _Ref98147102
h * MERGEFORMAT Εικόνα 11
. Μια παρόμοια τεχνική χρησιμοποιείται για την εξαγωγή αρχείων από έναν τοπικό φάκελο σταδιοποίησης. Ως τελευταίο βήμα στον βρόχο, το SC5k καταγράφει επίσης την έξοδο εντολής σε κρυπτογραφημένη και συμπιεσμένη μορφή στο δίσκο.
Ανατρεπόμενα δεδομένα προγράμματος περιήγησης
Είναι χαρακτηριστικό των χειριστών OilRig να χρησιμοποιούν ανατρεπόμενα προγράμματα περιήγησης δεδομένων στις δραστηριότητές τους μετά τον συμβιβασμό. Ανακαλύψαμε δύο νέους μηχανισμούς κλοπής δεδομένων του προγράμματος περιήγησης μεταξύ των εργαλείων μετά τον συμβιβασμό που αναπτύχθηκαν στην καμπάνια Juicy Mix παράλληλα με την κερκόπορτα Mango. Αποθέτουν τα κλεμμένα δεδομένα του προγράμματος περιήγησης στο % TEMP% καταλόγου σε αρχεία με όνομα Cupdate
και Ενημέρωση
(εξ ου και τα ονόματά μας για αυτούς: CDumper και EDumper).
Και τα δύο εργαλεία είναι προγράμματα περιήγησης C#/.NET που συλλέγουν cookie, ιστορικό περιήγησης και διαπιστευτήρια από τα προγράμματα περιήγησης Chrome (CDumper) και Edge (EDumper). Εστιάζουμε την ανάλυσή μας στο CDumper, καθώς και οι δύο κλέφτες είναι πρακτικά πανομοιότυποι, εκτός από ορισμένες σταθερές.
Όταν εκτελείται, το CDumper δημιουργεί μια λίστα χρηστών με εγκατεστημένο το Google Chrome. Κατά την εκτέλεση, ο κλέφτης συνδέεται στο Chrome SQLite ΜΠΙΣΚΟΤΑ , Ιστορικό
και Δεδομένα σύνδεσης βάσεις δεδομένων κάτω από %APPDATA%LocalGoogleChromeUser Data, και συλλέγει δεδομένα προγράμματος περιήγησης, συμπεριλαμβανομένων των διευθύνσεων URL που έχετε επισκεφτεί και των αποθηκευμένων συνδέσεων, χρησιμοποιώντας ερωτήματα SQL.
Στη συνέχεια, οι τιμές των cookie αποκρυπτογραφούνται και όλες οι πληροφορίες που συλλέγονται προστίθενται σε ένα αρχείο καταγραφής με όνομα Γ: Χρήστες AppDataLocalTempCupdate, σε καθαρό κείμενο. Αυτή η λειτουργία υλοποιείται στις συναρτήσεις CDumper που ονομάζονται CookieGrab
(Βλ. REF _Ref126168131 h Εικόνα 12
), HistoryGrab, και PasswordGrab. Σημειώστε ότι δεν υπάρχει μηχανισμός διήθησης που να έχει εφαρμοστεί στο CDumper, αλλά το Mango μπορεί να εξάγει επιλεγμένα αρχεία μέσω μιας εντολής backdoor.
Τόσο στο διάστημα όσο και στο προηγούμενο Εξω στη θάλασσα καμπάνιας, η OilRig χρησιμοποίησε ένα ανατρεπόμενο σύστημα δεδομένων C/C++ Chrome που ονομάζεται MKG. Όπως το CDumper και το EDumper, το MKG ήταν επίσης σε θέση να κλέψει ονόματα χρήστη και κωδικούς πρόσβασης, ιστορικό περιήγησης και cookies από το πρόγραμμα περιήγησης. Αυτό το dumper δεδομένων Chrome αναπτύσσεται συνήθως στις ακόλουθες τοποθεσίες αρχείων (με την πρώτη θέση να είναι η πιο κοινή):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Credential Manager stealer
Εκτός από τα εργαλεία απόρριψης δεδομένων του προγράμματος περιήγησης, η OilRig χρησιμοποίησε επίσης έναν κλέφτη του Windows Credential Manager στην καμπάνια Juicy Mix. Αυτό το εργαλείο κλέβει διαπιστευτήρια από το Windows Credential Manager και παρόμοια με το CDumper και το EDumper, τα αποθηκεύει στο % TEMP% κατάλογος – αυτή τη φορά σε ένα αρχείο με όνομα IUpdate
(εξ ου και το όνομα IDumper). Σε αντίθεση με το CDumper και το EDumper, το IDumper υλοποιείται ως σενάριο PowerShell.
Όπως και με τα εργαλεία ανατρεπόμενου προγράμματος περιήγησης, δεν είναι ασυνήθιστο για το OilRig να συλλέγει διαπιστευτήρια από το Windows Credential Manager. Προηγουμένως, οι χειριστές της OilRig παρατηρήθηκαν χρησιμοποιώντας VALUEVAULT, α δημόσια διαθέσιμο, Εργαλείο κλοπής διαπιστευτηρίων Go-compiled (βλ Καμπάνια HardPass 2019 και σε έναν Εκστρατεία 2020), για τον ίδιο σκοπό.
Συμπέρασμα
Η OilRig συνεχίζει να καινοτομεί και να δημιουργεί νέα εμφυτεύματα με δυνατότητες που μοιάζουν με backdoor, ενώ βρίσκει νέους τρόπους για την εκτέλεση εντολών σε απομακρυσμένα συστήματα. Η ομάδα βελτίωσε την κερκόπορτα C#/.NET Solar από την καμπάνια του Outer Space για να δημιουργήσει μια νέα κερκόπορτα με το όνομα Mango για την καμπάνια Juicy Mix. Η ομάδα αναπτύσσει ένα σύνολο προσαρμοσμένων εργαλείων μετά τον συμβιβασμό που χρησιμοποιούνται για τη συλλογή διαπιστευτηρίων, cookie και ιστορικού περιήγησης από μεγάλα προγράμματα περιήγησης και από το Credential Manager των Windows. Παρά αυτές τις καινοτομίες, η OilRig συνεχίζει επίσης να βασίζεται σε καθιερωμένους τρόπους απόκτησης δεδομένων χρηστών.
Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Αρχεία
SHA-1 |
Όνομα |
Όνομα ανίχνευσης ESET |
Περιγραφή |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Έγγραφο με κακόβουλη μακροεντολή που ρίχνει το Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Σταγονόμετρο VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Ηλιακή κερκόπορτα. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Backdoor Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Backdoor Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Ανατρεπόμενο άκρο δεδομένων. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Ντάμπερ δεδομένων χρωμίου. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper του Windows Credential Manager. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Ντάμπερ δεδομένων χρωμίου. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Ντάμπερ δεδομένων χρωμίου. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Ντάμπερ δεδομένων χρωμίου. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Πρόγραμμα λήψης SC5k (έκδοση 32 bit). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Πρόγραμμα λήψης SC5k (έκδοση 64 bit). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
Πρόγραμμα λήψης SC5k (έκδοση 64 bit). |
Δίκτυο
IP |
Domain |
Πάροχος φιλοξενίας |
Πρωτοεμφανίστηκε |
Περιγραφή |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 13 του πλαισίου MITER ATT & CK.
Τακτική |
ID |
Όνομα |
Περιγραφή |
Ανάπτυξη πόρων |
Συμβιβαστική υποδομή: Διακομιστής |
Τόσο στις καμπάνιες του Outer Space όσο και στις καμπάνιες Juicy Mix, η OilRig έχει παραβιάσει νόμιμους ιστότοπους για να δημιουργήσει κακόβουλα εργαλεία και για επικοινωνίες C&C. |
|
Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό |
Η OilRig έχει αναπτύξει προσαρμοσμένες κερκόπορτες (Solar και Mango), πρόγραμμα λήψης (SC5k) και ένα σύνολο εργαλείων κλοπής διαπιστευτηρίων για χρήση στις δραστηριότητές της. |
||
Δυνατότητες σκηνής: Ανεβάστε κακόβουλο λογισμικό |
Η OilRig έχει ανεβάσει κακόβουλα στοιχεία στους διακομιστές της C&C και έχει αποθηκεύσει προκαθορισμένα αρχεία και εντολές στο Πρόχειρα κατάλογο ηλεκτρονικού ταχυδρομείου ενός λογαριασμού Office 365 για λήψη και εκτέλεση του SC5k. |
||
Δυνατότητες σκηνής: Εργαλείο μεταφόρτωσης |
Η OilRig έχει ανεβάσει κακόβουλα εργαλεία στους διακομιστές της C&C και έχει αποθηκεύσει προστιγμένα αρχεία στο Πρόχειρα κατάλογο ηλεκτρονικού ταχυδρομείου ενός λογαριασμού Office 365 για λήψη και εκτέλεση του SC5k. |
||
Αρχική πρόσβαση |
Phishing: Συνημμένο ψαρέματος |
Η OilRig πιθανότατα διένειμε τις καμπάνιες του Outer Space και Juicy Mix μέσω email ηλεκτρονικού ψαρέματος με συνημμένα τα droppers VBS. |
|
Εκτέλεση |
Προγραμματισμένη εργασία/Εργασία: Προγραμματισμένη εργασία |
Τα εργαλεία IDumper, EDumper και CDumper της OilRig χρησιμοποιούν προγραμματισμένες εργασίες που ονομάζονται δηλ, εκδ , και cu να εκτελούνται στο πλαίσιο άλλων χρηστών. Η Solar και η Mango χρησιμοποιούν μια εργασία C#/.NET σε ένα χρονόμετρο για να εκτελέσουν επαναληπτικά τις κύριες λειτουργίες τους. |
|
Διερμηνέας εντολών και σεναρίων: PowerShell |
Το εργαλείο IDumper της OilRig χρησιμοποιεί το PowerShell για εκτέλεση. |
||
Διερμηνέας εντολών και δέσμης ενεργειών: Windows Command Shell |
Χρήση Solar, SC5k, IDumper, EDumper και CDumper της OilRig cmd.exe για την εκτέλεση εργασιών στο σύστημα. |
||
Διερμηνέας εντολών και σεναρίων: Visual Basic |
Η OilRig χρησιμοποιεί ένα κακόβουλο VBScript για να παραδώσει και να διατηρήσει τις κερκόπορτες Solar και Mango. |
||
Το εγγενές API |
Η κερκόπορτα Mango της OilRig χρησιμοποιεί το Δημιουργία επεξεργασίας Windows API για εκτέλεση. |
||
Επιμονή |
Προγραμματισμένη εργασία/Εργασία: Προγραμματισμένη εργασία |
Το σταγονόμετρο VBS της OilRig προγραμματίζει μια εργασία με όνομα ReminderTask να εδραιώσει την επιμονή για την κερκόπορτα Mango. |
|
Αμυντική υπεκφυγή |
Μεταμφίεση: Αντιστοίχιση νόμιμου ονόματος ή τοποθεσίας |
Το OilRig χρησιμοποιεί νόμιμα ή αβλαβή ονόματα αρχείων για το κακόβουλο λογισμικό του για να κρυφτεί από υπερασπιστές και λογισμικό ασφαλείας. |
|
Συσκευασμένα αρχεία ή πληροφορίες: Συσκευασία λογισμικού |
Η OilRig έχει χρησιμοποιήσει SAPIEN Script Packager και Συσκοτιστής SmartAssembly για να θολώσει το εργαλείο IDumper του. |
||
Συγκεκριμένα αρχεία ή πληροφορίες: Ενσωματωμένα ωφέλιμα φορτία |
Τα droppers VBS της OilRig έχουν ενσωματωμένα κακόβουλα ωφέλιμα φορτία ως μια σειρά από υποσυμβολοσειρές base64. |
||
Μεταμφίεση: Εργασία ή υπηρεσία μεταμφίεσης |
Για να φαίνεται νόμιμο, το σταγονόμετρο VBS της Mango προγραμματίζει μια εργασία με την περιγραφή Ξεκινήστε το σημειωματάριο σε μια συγκεκριμένη ώρα. |
||
Αφαίρεση δείκτη: Καθαρή επιμονή |
Τα εργαλεία μετά τον συμβιβασμό της OilRig διαγράφουν τις προγραμματισμένες εργασίες τους μετά από μια συγκεκριμένη χρονική περίοδο. |
||
Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών |
Η OilRig χρησιμοποιεί διάφορες μεθόδους συσκότισης για να προστατεύσει τις χορδές και τα ενσωματωμένα ωφέλιμα φορτία της. |
||
Ανατροπή των ελέγχων εμπιστοσύνης |
Το SC5k χρησιμοποιεί το Office 365, γενικά ένα αξιόπιστο τρίτο μέρος και συχνά παραβλέπεται από τους υπερασπιστές, ως τοποθεσία λήψης. |
||
Βλάβη άμυνας |
Η κερκόπορτα Mango της OilRig έχει μια (ακόμη) αχρησιμοποίητη δυνατότητα να εμποδίζει τις λύσεις ασφάλειας τελικού σημείου να φορτώνουν τον κώδικα λειτουργίας χρήστη τους σε συγκεκριμένες διαδικασίες. |
||
Πρόσβαση διαπιστευτηρίων |
Διαπιστευτήρια από καταστήματα κωδικών πρόσβασης: Διαπιστευτήρια από προγράμματα περιήγησης Ιστού |
Τα προσαρμοσμένα εργαλεία MKG, CDumper και EDumper της OilRig μπορούν να αποκτήσουν διαπιστευτήρια, cookie και ιστορικό περιήγησης από τα προγράμματα περιήγησης Chrome και Edge. |
|
Διαπιστευτήρια από το Password Stores: Windows Credential Manager |
Το προσαρμοσμένο εργαλείο απόρριψης διαπιστευτηρίων της OilRig IDumper μπορεί να κλέψει διαπιστευτήρια από το Windows Credential Manager. |
||
Ανακάλυψη |
Ανακάλυψη πληροφοριών συστήματος |
Το Mango αποκτά το παραβιασμένο όνομα υπολογιστή. |
|
Ανακάλυψη αρχείων και καταλόγου |
Το Mango έχει μια εντολή για την απαρίθμηση του περιεχομένου ενός καθορισμένου καταλόγου. |
||
Ανακάλυψη κατόχου/χρήστη συστήματος |
Το Mango αποκτά το όνομα χρήστη του θύματος. |
||
Ανακάλυψη λογαριασμού: Τοπικός λογαριασμός |
Τα εργαλεία EDumper, CDumper και IDumper της OilRig μπορούν να απαριθμήσουν όλους τους λογαριασμούς χρηστών στον παραβιασμένο κεντρικό υπολογιστή. |
||
Ανακάλυψη πληροφοριών προγράμματος περιήγησης |
Το MKG απορρίπτει το ιστορικό και τους σελιδοδείκτες του Chrome. |
||
Διοίκησης και Ελέγχου |
Πρωτόκολλο επιπέδου εφαρμογής: Πρωτόκολλα Ιστού |
Το Mango χρησιμοποιεί HTTP σε επικοινωνίες C&C. |
|
Μεταφορά εργαλείου εισόδου |
Το Mango έχει τη δυνατότητα λήψης πρόσθετων αρχείων από τον διακομιστή C&C για μεταγενέστερη εκτέλεση. |
||
Συμπίεση δεδομένων |
Η Solar και το SC5k χρησιμοποιούν μια απλή μέθοδο κρυπτογράφησης XOR μαζί με συμπίεση gzip για να θολώνουν τα δεδομένα σε κατάσταση ηρεμίας και κατά τη μεταφορά. |
||
Web Service: Αμφίδρομη επικοινωνία |
Το SC5k χρησιμοποιεί το Office 365 για τη λήψη αρχείων από και τη μεταφόρτωση αρχείων στο Πρόχειρα κατάλογο σε έναν νόμιμο λογαριασμό email. |
||
Κωδικοποίηση δεδομένων: Τυπική κωδικοποίηση |
Το Solar, το Mango και το MKG base64 αποκωδικοποιεί δεδομένα πριν τα στείλει στον διακομιστή C&C. |
||
Κρυπτογραφημένο κανάλι: Συμμετρική κρυπτογραφία |
Το Mango χρησιμοποιεί έναν κρυπτογράφηση XOR με το κλειδί Q&4g για την κρυπτογράφηση δεδομένων στην επικοινωνία C&C. |
||
Κρυπτογραφημένο κανάλι: Ασύμμετρη Κρυπτογραφία |
Το Mango χρησιμοποιεί TLS για επικοινωνία C&C. |
||
εκδιήθησης |
Διήθηση πάνω από το κανάλι C2 |
Τα Mango, Solar και SC5k χρησιμοποιούν τα κανάλια C&C τους για διήθηση. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Ικανός
- ΠΛΗΡΟΦΟΡΙΕΣ
- πάνω από
- Λογαριασμός
- Λογαριασμοί
- Ενέργειες
- ενεργός
- δραστήρια
- δραστηριοτήτων
- φορείς
- προστιθέμενη
- Επιπλέον
- Πρόσθετος
- Επιπλέον
- διεύθυνση
- διευθύνσεις
- Προσθέτει
- Μετά το
- κατόπιν
- κατά
- Πράκτορας
- Απευθύνεται
- Όλα
- επιτρέπεται
- ALMA
- κατά μήκος
- κατά μήκος της πλευράς
- Αλφάβητο
- Επίσης
- μεταξύ των
- an
- ανάλυση
- αναλύθηκε
- και
- Άλλος
- κάθε
- api
- APIs
- εμφανίζομαι
- εμφανίζεται
- εφαρμοσμένος
- APT
- Άραβας
- Αραβικά Εμιράτα
- Αρχείο
- ΕΙΝΑΙ
- επιχειρήματα
- Παράταξη
- AS
- συναρμολογούνται
- Συνέλευση
- αστρονομία
- At
- Επιθέσεις
- Αυτοματοποιημένη
- αυτομάτως
- κερκόπορτα
- Κερκόπορτες
- φόντο
- βασίζονται
- βασικός
- BE
- ήταν
- πριν
- ξεκίνησε
- πίσω
- είναι
- παρακάτω
- εκτός
- μεταξύ
- Αποκλεισμός
- σώμα
- σελιδοδείκτες
- και οι δύο
- πρόγραμμα περιήγησης
- browsers
- Περιήγηση
- χτισμένο
- επιχείρηση
- αλλά
- by
- κλήση
- που ονομάζεται
- κλήσεις
- Εκστρατεία
- Καμπάνιες
- CAN
- δυνατότητες
- ικανότητα
- που
- περίπτωση
- ορισμένες
- αλλαγή
- άλλαξε
- Αλλαγές
- Κανάλι
- κανάλια
- χαρακτηριστικός
- χαρακτήρες
- χημική ουσία
- επιλογή
- επέλεξε
- Chrome
- κρυπτογράφημα
- καθαρός
- κωδικός
- συλλέγουν
- Συλλέγοντας
- COM
- σε συνδυασμό
- Κοινός
- συνήθως
- επικοινωνούν
- Επικοινωνία
- Διαβιβάσεις
- Εταιρεία
- εξαρτήματα
- συμβιβασμός
- Συμβιβασμένος
- υπολογιστή
- διαμόρφωση
- επιβεβαίωση
- Connect
- συνδέει
- επικοινωνήστε μαζί μας
- περιέχουν
- περιεχόμενο
- συμφραζόμενα
- συνέχισε
- συνεχίζεται
- μετατρέπονται
- μπισκότα
- θα μπορούσε να
- δημιουργία
- δημιουργεί
- δημιουργία
- δημιουργία
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- Ρεύμα
- έθιμο
- ημερομηνία
- βάσεις δεδομένων
- Αποκρυπτογράφηση
- Υπερασπιστές
- παραδώσει
- παρατάσσω
- αναπτυχθεί
- ανάπτυξη
- αναπτύσσεται
- Συμπληρωματικός
- περιγράφεται
- περιγραφή
- Παρά
- λεπτομερής
- εντοπιστεί
- Ανίχνευση
- αναπτύχθηκε
- διαφορετικές
- ανακάλυψαν
- ανακάλυψη
- εκτεθειμένος
- διανέμονται
- χωρίζει
- έγγραφο
- κάνει
- κατεβάσετε
- λήψεις
- προσχέδιο
- Πτώση
- έπεσε
- Ρίψη
- Σταγόνες
- χωματερή
- κάθε
- Νωρίτερα
- Ανατολή
- ανατολικό
- άκρη
- είτε
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενσωματωμένο
- εμιράτα
- μισθωτών
- ενεργοποιήσετε
- κρυπτογραφημένα
- κρυπτογράφηση
- Τελικό σημείο
- Ασφάλεια τελικού σημείου
- ενέργεια
- δελεαστικός
- κατασκοπεία
- εγκαθιδρύω
- εγκατεστημένος
- φοροδιαφυγής
- Κάθε
- παράδειγμα
- ανταλλαγή
- αποκλειστικά
- εκτελέσει
- εκτελέστηκε
- Εκτελεί
- εκτέλεσης
- εκτέλεση
- διήθηση
- Εκχυλίσματα
- απομίμηση
- Αρχεία
- Αρχεία
- Τελικά
- οικονομικός
- εύρεση
- ευρήματα
- Όνομα
- προσαρμογή
- ροή
- Συγκέντρωση
- εστιάζει
- Εξής
- εξής
- Για
- μορφή
- Βρέθηκαν
- Πλαίσιο
- από
- από 2021
- λειτουργία
- λειτουργίες
- λειτουργικότητα
- λειτουργίες
- περαιτέρω
- μελλοντικός
- συγκέντρωση
- γενικά
- παράγεται
- δημιουργεί
- Παγκόσμιο
- γκολ
- Google Chrome
- Κυβέρνηση
- Κυβέρνηση
- Group
- Ομάδα
- Handles
- χασίσι
- Έχω
- υγειονομική περίθαλψη
- ως εκ τούτου
- εδώ
- HEX
- Κρύβω
- ιστορία
- άγκιστρα
- οικοδεσπότης
- Πως
- HTML
- http
- HTTPS
- ανθρώπινος
- Ανθρώπινο Δυναμικό
- ID
- identiques
- αναγνωριστικό
- if
- εικόνα
- εφαρμοστεί
- υλοποιεί
- βελτιωθεί
- in
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- πράγματι
- πληροφορίες
- πληροφορίες
- Υποδομή
- αρχικός
- νεωτερίζω
- καινοτομίες
- Ερωτήσεις
- εγκατασταθεί
- αντί
- οδηγίες
- Νοημοσύνη
- εσωτερικός
- σε
- εισήγαγε
- Ιράν
- Ισραήλ
- IT
- ΤΟΥ
- εαυτό
- Δουλειά
- json
- Ιούλιος
- μόλις
- τήρηση
- Κλειδί
- γνωστός
- Επίθετο
- ξεκίνησε
- στρώμα
- ελάχιστα
- Λίβανος
- αριστερά
- νόμιμος
- Μου αρέσει
- Πιθανός
- γραμμή
- LINK
- Λιστα
- Εισηγμένες
- λίστα
- Λίστες
- φόρτωση
- τοπικός
- τοποθεσία
- θέσεις
- κούτσουρο
- Μακριά
- κοιτάζοντας
- μηχανή
- Macro
- μακροεντολές
- Κυρίως
- μεγάλες
- malware
- διευθυντής
- Είδος μεγάλου ψαριού
- μεταμφίεση
- Ταίριασμα
- MD5
- μηχανισμός
- Μνήμη
- που αναφέρθηκαν
- μήνυμα
- μηνύματα
- Μεταδεδομένα
- μέθοδος
- μέθοδοι
- Microsoft
- Μέσο
- Μέση Ανατολή
- MILAN
- χιλιοστά του δευτερολέπτου
- Λεπτ.
- μείγμα
- Τρόπος
- Εξάλλου
- πλέον
- ως επί το πλείστον
- κινήσεις
- πολλαπλούς
- όνομα
- Ονομάστηκε
- και συγκεκριμένα
- ονόματα
- ονοματοδοσία
- εθνικός
- ντόπιος
- καθαρά
- παρ 'όλα αυτά
- Νέα
- επόμενη
- nist
- Όχι.
- αξιοσημείωτο
- ιδιαίτερα
- αριθμός
- αριθμοί
- αποκτήσει
- λαμβάνει
- συνέβη
- of
- προσφορές
- Office
- συχνά
- on
- ONE
- αποκλειστικά
- λειτουργίες
- φορείς
- Επιλογή
- or
- τάξη
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- δικός μας
- έξω
- απώτερο διάστημα
- παραγωγή
- επί
- καταπατώ
- επισκόπηση
- σελίδα
- παράμετρος
- παράμετροι
- κόμμα
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- μονοπάτι
- εκτέλεση
- περίοδος
- επιμονή
- Phishing
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- Σημείο
- σημεία
- Πύλη
- θέση
- πιθανώς
- Θέση
- PowerShell
- πρακτικά
- προκάτοχος
- προηγούμενος
- προηγουμένως
- πρωταρχικός
- ιδιωτικός
- πιθανώς
- διαδικασια μας
- Επεξεργασμένο
- Διεργασίες
- Προϊόν
- προστασία
- πρωτόκολλο
- παρέχουν
- δημοσιεύθηκε
- σκοπός
- ερωτήματα
- τυχαίος
- μάλλον
- Ανάγνωση
- έλαβε
- πρόσφατος
- κάντε ΕΓΓΡΑΦΗ
- σχετίζεται με
- βασίζονται
- μακρινός
- αφαίρεση
- Καταργήθηκε
- αντικατασταθούν
- αναφέρουν
- Εκθέσεις
- ζητήσει
- έρευνα
- ερευνητές
- Υποστηρικτικό υλικό
- αντίστοιχα
- απάντησης
- υπεύθυνος
- ΠΕΡΙΦΕΡΕΙΑ
- με αποτέλεσμα
- Αποτελέσματα
- απόδοση
- ανασκόπηση
- εξέδρας
- τρέξιμο
- τρέξιμο
- s
- ίδιο
- Αποθήκευση
- αποθηκεύονται
- οικονομία
- πριόνι
- πρόγραμμα
- προγραμματιστεί
- σχέδιο
- συστήματα
- γραφή
- ΘΆΛΑΣΣΑ
- Δεύτερος
- δευτερόλεπτα
- Τμήμα
- Τομείς
- ασφάλεια
- δείτε
- δει
- επιλέγονται
- επιλογή
- αποστολή
- αποστέλλει
- αποστέλλονται
- Σειρές
- εξυπηρετούν
- διακομιστής
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- σειρά
- διάφοροι
- καρχαρίας
- κέλυφος
- παρουσιάζεται
- Δείχνει
- παρόμοιες
- ομοιότητες
- Απλούς
- αφού
- ιστοσελίδα
- small
- So
- λογισμικό
- ηλιακός
- Λύσεις
- μερικοί
- Χώρος
- συγκεκριμένες
- καθορίζεται
- διάδοση
- στοίβαξη
- Στάδιο
- σκαλωσιά
- πρότυπο
- ξεκινά
- κλέβει
- Βήμα
- Βήματα
- κλαπεί
- στάση
- αποθηκεύονται
- καταστήματα
- Σπάγγος
- μεταγενέστερος
- Ακολούθως
- τέτοιος
- Υποστηρίζει
- ενεργοποιημένη
- σύμβολο
- σύστημα
- συστήματα
- τραπέζι
- λαμβάνεται
- παίρνει
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Έργο
- εργασίες
- Τεχνικός
- Τεχνική Ανάλυση
- τηλεπικοινωνιών
- από
- ότι
- Η
- τους
- Τους
- τους
- τότε
- Εκεί.
- Αυτοί
- αυτοί
- πράγματα
- Τρίτος
- αυτό
- απειλή
- απειλή
- Αναφορά απειλών
- παντού
- Ετσι
- εγκάρσιος
- Γραβάτες
- ώρα
- Τίτλος
- προς την
- εργαλείο
- εργαλεία
- κορυφή
- διαμετακόμιση
- μεταφορά
- Εμπιστευθείτε
- Έμπιστος
- δύο
- τύπος
- τυπικός
- συνήθως
- Ασυνήθης
- υπό
- Ενωμένος
- Ηνωμένο Αραβικό
- Ηνωμένα Αραβικά Εμιράτα
- διαφορετικός
- αχρησιμοποίητος
- ενημερώθηκε
- Φορτώθηκε
- Ανέβασμα
- επάνω σε
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- v1
- αξία
- Αξίες
- μεταβλητή
- ποικιλία
- διάφορα
- εκδοχή
- πληροφορίες έκδοσης
- εκδόσεις
- κατακόρυφα
- πολύ
- μέσω
- Θύμα
- θύματα
- Επίσκεψη
- επισκέφθηκε
- προειδοποίηση
- ήταν
- τρόπους
- we
- ιστός
- του web server
- διαδικτυακές υπηρεσίες
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- ΛΟΙΠΌΝ
- ήταν
- Ποιό
- ενώ
- ολόκληρο
- πλάτος
- θα
- παράθυρα
- με
- εντός
- λέξη
- ροής εργασίας
- εργαζόμενος
- γραφή
- γραπτή
- Ναί
- ακόμη
- zephyrnet