ESET-i teadlased on analüüsinud kahte OilRig APT grupi kampaaniat: Outer Space (2021) ja Juicy Mix (2022). Mõlemad küberspionaažikampaaniad olid suunatud eranditult Iisraeli organisatsioonidele, mis on kooskõlas grupi keskendumisega Lähis-Idale, ja kasutasid sama mänguraamatut: OilRig ohustas esmalt seaduslikku veebisaiti, et seda saaks kasutada C&C serverina, ja seejärel kasutas C# edastamiseks VBS-i tilgureid. /.NET tagauks oma ohvritele, juurutades samas ka mitmesuguseid kompromissijärgseid tööriistu, mida enamasti kasutatakse sihtsüsteemides andmete väljafiltreerimiseks.
Oma kosmosekampaanias kasutas OilRig lihtsat, varem dokumenteerimata C#/.NET-i tagaust, mille me nimetasime Solariks, koos uue allalaadijaga SampleCheck5000 (või SC5k), mis kasutab C&C suhtluseks Microsoft Office Exchange'i veebiteenuste API-d. Juicy Mixi kampaania jaoks täiustasid ohus osalejad Solari, et luua Mango tagauks, millel on täiendavad võimalused ja segamismeetodid. Lisaks pahatahtliku tööriistakomplekti tuvastamisele teavitasime ohustatud veebisaitidest ka Iisraeli CERT-i.
Selle ajaveebipostituse põhipunktid:
- ESET jälgis kahte OilRigi kampaaniat, mis toimusid aastatel 2021 (Outer Space) ja 2022 (Juicy Mix).
- Operaatorid võtsid sihikule eranditult Iisraeli organisatsioonid ja ohustasid seaduslikke Iisraeli veebisaite nende C&C suhtluses kasutamiseks.
- Nad kasutasid igas kampaanias uut, varem dokumenteerimata C#/.NET-i esimese etapi tagaust: Solar in Outer Space, seejärel selle järglane Mango mängus Juicy Mix.
- Mõlemad tagauksed olid kasutusele võetud VBS-i tilgutite abil, mida levitati arvatavasti e-kirjade kaudu.
- Mõlemas kampaanias kasutati mitmesuguseid kompromissijärgseid tööriistu, eriti SC5k allalaadijat, mis kasutab C&C suhtluseks Microsoft Office Exchange'i veebiteenuste API-liidest, ning mitmeid tööriistu brauseri andmete ja mandaatide varastamiseks Windowsi mandaadihaldurist.
OilRig, tuntud ka kui APT34, Lyceum või Siamesekitten, on küberspionaažirühm, mis on tegutsenud vähemalt 2014. aastast ja üldiselt arvatakse asuma Iraanis. Grupi sihtrühmaks on Lähis-Ida valitsused ja mitmesugused ärivaldkonnad, sealhulgas keemia-, energia-, finants- ja telekommunikatsioon. aastal viis OilRig DNSpionaaži kampaania läbi 2018 ja 2019, mis oli suunatud ohvritele Liibanonis ja Araabia Ühendemiraatides. Aastatel 2019 ja 2020 jätkas OilRig rünnakuid HardPass kampaania, mis kasutas LinkedIni Lähis-Ida ohvrite sihtimiseks energia- ja valitsussektoris. 2021. aastal uuendas OilRig oma DanBot tagaukse ja hakkas kasutusele võtma Hai, Milanoja Marlini tagauksed, mida on mainitud T3 2021 väljaanne ESET-i ohuaruandest.
Selles ajaveebipostituses pakume tehnilist analüüsi Solari ja Mango tagauste, Mango tarnimiseks kasutatava VBS-i tilguti ja igas kampaanias kasutatavate kompromissijärgsete tööriistade kohta.
omistamine
Esialgne link, mis võimaldas meil ühendada Outer Space kampaania OilRigiga, on sama kohandatud Chrome'i andmekalluri kasutamine (mida ESET-i teadlased jälgisid MKG nime all), nagu Out to Sea kampaania. Märkasime, et Päikese tagauks kasutas sihtmärgi süsteemis sama MKG näidist nagu Out to Sea koos kahe teise variandiga.
Lisaks tööriistade ja sihtimise kattumisele nägime ka mitmeid sarnasusi Solari tagaukse ja rakenduses Out to Sea kasutatavate tagauste vahel, mis olid enamasti seotud üles- ja allalaadimisega: nii Solar kui ka Shark, teine OilRigi tagauks, kasutavad URI-sid lihtsate üles- ja allalaadimisskeemidega. C&C-serveriga suhtlemiseks d-tähega allalaadimiseks ja u-ga üleslaadimiseks; Lisaks kasutab allalaadimisprogramm SC5k üles- ja allalaadimiste alamkatalooge nagu teisedki OilRigi tagauksed, nimelt ALMA, Shark, DanBot ja Milan. Need leiud on täiendavaks kinnituseks, et Outer Space'i süüdlane on tõepoolest OilRig.
Mis puudutab Juicy Mixi kampaania sidemeid OilRigiga, siis peale Iisraeli organisatsioonide sihtimise – mis on tüüpiline sellele spionaažigrupile – on koodisarnasusi selles kampaanias kasutatud tagaukse Mango ja Solari vahel. Lisaks kasutasid mõlemad tagauksed VBS-i tilgutite abil sama stringide hägustamise tehnikaga. Juicy Mixis kasutatud kompromissijärgsete tööriistade valik peegeldab ka varasemaid OilRigi kampaaniaid.
Outer Space kampaania ülevaade
Nimetatud astronoomiapõhise nimetamisskeemi kasutamise tõttu funktsioonide nimedes ja ülesannetes. Outer Space on OilRigi kampaania aastast 2021. Selle kampaania käigus ohustas rühm Iisraeli inimressursside saiti ja kasutas seda hiljem oma varasemas C&C-serverina. dokumenteerimata C#/.NET tagauks, Solar. Solar on lihtne tagauks, millel on põhifunktsioonid, nagu kettalt lugemine ja kirjutamine ning teabe kogumine.
Seejärel võttis rühm Solari kaudu kasutusele uue allalaadija SC5k, mis kasutab Office Exchange'i veebiteenuste API-t, et laadida alla täiendavaid tööriistu, nagu näidatud REF _Ref142655526 h Joonis 1
. Ohvri süsteemist brauseriandmete väljafiltreerimiseks kasutas OilRig Chrome-andmekallurit nimega MKG.
Juicy Mixi kampaania ülevaade
2022. aastal käivitas OilRig veel ühe kampaania, mis oli suunatud Iisraeli organisatsioonidele, seekord uuendatud tööriistakomplektiga. Panime kampaaniale nimeks Juicy Mix uue OilRigi tagaukse kasutamiseks Mango (selle sisemise koostu nime ja failinime alusel, Mango.exe). Selles kampaanias ohustasid ohus osalejad seadusliku Iisraeli tööportaali veebisaiti, et seda saaks kasutada C&C suhtluses. Seejärel kasutati grupi pahatahtlikke tööriistu tervishoiuorganisatsiooni vastu, mis asub samuti Iisraelis.
Mango esimese astme tagauks on Solari järglane, mis on kirjutatud ka C#/.NET-i keeles, ja sisaldab märkimisväärseid muudatusi, mis hõlmavad väljafiltrimisvõimalusi, natiivsete API-de kasutamist ja lisatud tuvastamisest kõrvalehoidmise koodi.
Koos Mangoga tuvastasime ka kaks varem dokumenteerimata brauseri andmete kallurit, mida kasutati Chrome'i ja Edge'i brauserite küpsiste, sirvimisajaloo ja mandaatide varastamiseks, ning Windows Credential Manageri varastaja, mis kõik omistame OilRigile. Neid tööriistu kasutati 2021. ja 2022. aastal sama sihtmärgi vastu nagu Mango, aga ka teistes ohustatud Iisraeli organisatsioonides. REF _Ref125475515 h Joonis 2
näitab ülevaadet, kuidas erinevaid komponente Juicy Mix kampaanias kasutati.
Tehniline analüüs
Selles jaotises pakume tehnilist analüüsi Solari ja Mango tagauste ja SC5k allalaadija kohta ning muude tööriistade kohta, mida nendes kampaaniates sihtsüsteemides kasutati.
VBS tilgutajad
Sihtmärgi süsteemile tugipunkti loomiseks kasutati mõlemas kampaanias Visual Basic Scripti (VBS) tilgutit, mis suure tõenäosusega levisid e-kirjade kaudu. Meie allolev analüüs keskendub VBS-i skriptile, mida kasutatakse Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); Pange tähele, et Solari tilguti on väga sarnane.
Tilguti eesmärk on tarnida manustatud Mango tagauks, ajastada ülesanne püsivuse tagamiseks ja registreerida kompromiss C&C serveris. Manustatud tagauks salvestatakse base64 alamstringidena, mis on ühendatud ja base64 dekodeeritud. Nagu näidatud REF _Ref125477632 h Joonis 3
, kasutab skript ka lihtsat stringide hägu eemaldamise tehnikat, kus stringid koostatakse aritmeetiliste toimingute ja Chr funktsiooni.
Lisaks lisab Mango VBS-i tilguti püsivuse seadistamiseks ja C&C serveris registreerimiseks teist tüüpi stringide hägustamise ja koodi. Nagu näidatud REF _Ref125479004 h * MERGEFORMAT Joonis 4
, mõne stringi deobfuskeerimiseks asendab skript kõik komplektis olevad märgid #*+-_)(}{@$%^& koos 0, seejärel jagab stringi kolmekohalisteks numbriteks, mis seejärel teisendatakse ASCII-märkideks, kasutades Chr
funktsiooni. Näiteks string 116110101109117+99111$68+77{79$68}46-50108109120115}77 tõlgib Msxml2.DOMDocument.
Kui tagauks on süsteemi manustatud, liigub tilguti edasi, et luua ajastatud ülesanne, mis käivitab Mango (või teises versioonis Solari) iga 14 minuti järel. Lõpuks saadab skript POST-i päringu kaudu ohustatud arvuti base64-kodeeringuga nime, et registreerida tagauks oma C&C-serveris.
Päikeseenergia tagauks
Päikeseenergia on OilRigi kosmosekampaania tagauks. Põhifunktsioonidega tagaust saab muu hulgas kasutada failide allalaadimiseks ja käivitamiseks ning lavastatud failide automaatseks väljafiltreerimiseks.
Nime Solar valisime OilRigi kasutatud failinime põhjal, Solar.exe. See on sobiv nimi, kuna tagauks kasutab oma funktsioonide nimede ja ülesannete jaoks astronoomilist nimetamisskeemi, mida kasutatakse kogu binaarses (Merkuur, Veenus, Marss, Earthja Jupiter).
Solar alustab täitmist, sooritades all näidatud samme REF _Ref98146919 h * MERGEFORMAT Joonis 5
.
Tagauks loob kaks ülesannet, Earth
ja Veenus, mis töötab mälus. Mõlemal kahel ülesandel ei ole stoppfunktsiooni, seega töötavad need lõputult. Earth
on kavandatud jooksma iga 30 sekundi järel ja Veenus
on seadistatud töötama iga 40 sekundi järel.
Earth on peamine ülesanne, mis vastutab enamiku päikeseenergia funktsioonide eest. See suhtleb funktsiooni abil C&C serveriga MercuryToSun, mis saadab põhilise süsteemi ja pahavara versiooniteabe C&C serverisse ning seejärel tegeleb serveri vastusega. Earth saadab C&C serverisse järgmise teabe:
- String (@); kogu string on krüpteeritud.
- String 1.0.0.0, krüptitud (võimalik, et versiooninumber).
- String 30000, krüptitud (võib-olla ajastatud käitusaeg Earth
Krüpteerimine ja dekrüpteerimine on realiseeritud funktsioonides nimega JupiterE
ja JupiterD, vastavalt. Mõlemad kutsuvad funktsiooni nimega JupiterX, mis rakendab XOR-ahelat, nagu näidatud joonisel REF _Ref98146962 h Joonis 6
.
Võti on tuletatud kõvakoodiga globaalsest stringimuutujast, 6sEj7*0B7#7Ja nuntsius: antud juhul juhuslik kuueteistkümnendstring, mille pikkus on 2–24 tähemärki. Pärast XOR-krüptimist rakendatakse standardset base64 kodeeringut.
C&C serverina kasutati Iisraeli personaliettevõtte veebiserverit, mille OilRig enne Solari kasutuselevõttu mingil hetkel ohustas:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Enne URI-le lisamist krüptimise nonce krüpteeritakse ja algse päringu stringi väärtus, rt, on seatud d siin, tõenäoliselt "allalaadimiseks".
Programmi viimane samm MercuryToSun
funktsioon on C&C serveri vastuse töötlemine. See teeb seda, otsides vastuse alamstringi, mis leitakse märkide vahel QQ@ ja @kk. See vastus on juhiste jada, mis on eraldatud tärnidega (*), mis töödeldakse massiiviks. Earth
seejärel täidab tagaukse käsud, mis hõlmavad täiendavate kasulike koormuste allalaadimist serverist, ohvri süsteemis olevate failide loendit ja konkreetsete käivitatavate failide käivitamist.
Seejärel tihendatakse käsu väljund funktsiooni abil gzip Neptuun
ja krüpteeritakse sama krüpteerimisvõtmega ja uue nonce'iga. Seejärel laaditakse tulemused üles C&C serverisse, nii:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid ja uued nonce on krüpteeritud JupiterE
funktsioon ja siin väärtus rt on seatud väärtusele u, tõenäoliselt "üleslaadimiseks".
Veenus, teist ajastatud ülesannet, kasutatakse andmete automaatseks väljafiltreerimiseks. See väike ülesanne kopeerib failide sisu kataloogist (nimetatakse ka Veenus) C&C serverisse. Tõenäoliselt on need failid siia pudenenud mõne muu, seni tuvastamata OilRigi tööriistaga. Pärast faili üleslaadimist kustutab ülesanne selle kettalt.
Mango tagauks
Juicy Mix kampaania jaoks vahetas OilRig Solari tagaukse asemel Mango. Sellel on päikeseenergiaga sarnane töövoog ja kattuvad võimalused, kuid sellegipoolest on mitmeid märkimisväärseid muudatusi:
- TLS-i kasutamine C&C-suhtluseks.
- Natiivsete API-de kasutamine .NET API-de asemel failide ja kestakäskude täitmiseks.
- Kuigi seda aktiivselt ei kasutatud, võeti kasutusele tuvastamisest kõrvalehoidumise kood.
- Automaatse väljafiltreerimise tugi (Veenus
- Logirežiimi tugi on eemaldatud ja sümbolite nimed on hägustatud.
Vastupidiselt Solari astronoomiateemalisele nimeskeemile hägustab Mango oma sümbolite nimesid, nagu on näha REF _Ref142592880 h Joonis 7
.
Lisaks sümbolinime hägustamisele kasutab Mango ka stringide virnastamise meetodit (nagu näidatud joonisel REF _Ref142592892 h Joonis 8
REF _Ref141802299 h
) stringide hägustamiseks, mis muudab lihtsate tuvastamismeetodite kasutamise keeruliseks.
Sarnaselt Solariga alustab Mango tagauks mälusisese ülesande loomisega, mis on ajastatud määramata aja jooksul iga 32 sekundi järel. See ülesanne suhtleb C&C serveriga ja täidab sarnaselt Solari omaga tagaukse käske Earth
ülesanne. Kuigi ka Päikeseenergia loob Veenus, automaatse väljafiltreerimise ülesanne, on see funktsioon Mangos asendatud uue tagaukse käsuga.
Põhiülesandes genereerib Mango esmalt ohvri identifikaatori, , mida kasutatakse C&C suhtluses. ID arvutatakse MD5 räsina , vormindatud kuueteistkümnendsüsteemi stringina.
Tagaukse käsu taotlemiseks saadab Mango stringi d@ @ | C&C serverisse http://www.darush.co[.]il/ads.asp – seaduslik Iisraeli tööportaal, mille OilRig tõenäoliselt enne seda kampaaniat ohustas. Teavitasime kompromissist Iisraeli riiklikku CERT-organisatsiooni.
Päringu korpus on üles ehitatud järgmiselt:
- Edastatavad andmed on krüpteerimisvõtme abil XOR-krüpteeritud K&4g, seejärel kodeeritud base64.
- Sellest tähestikust genereeritakse 3–14 tähemärgist koosnev pseudojuhuslik string (nagu see koodis on): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Krüptitud andmed sisestatakse genereeritud stringi pseudojuhuslikus positsioonis, mis on ümbritsetud [@ ja @] piiritlejad.
C&C-serveriga suhtlemiseks kasutab Mango protokolli TLS (Transport Layer Security), mida kasutatakse täiendava krüpteerimiskihi pakkumiseks..
Samamoodi on C&C serverilt saadud tagaukse käsk XOR-krüptitud, base64-kodeeritud ja seejärel suletud [@ ja @] HTTP vastuse kehas. Käsk ise on kas NCNT
(sel juhul ei võeta midagi ette) või mitme parameetri jada, mis on piiritletud
@, nagu on üksikasjalikult kirjeldatud REF _Ref125491491 h Tabel 1
, mis loetleb Mango tagaukse käsud. Pange tähele, et ei ole tabelis loetletud, kuid seda kasutatakse vastuses C&C serverile.
Tabel 1. Mango tagaukse käskude loend
arg1 |
arg2 |
arg3 |
Võetud meetmed |
Tagastusväärtus |
|
1 või tühi string |
+sp |
N / A |
Käivitab määratud faili/shelli käsu (koos valikuliste argumentidega), kasutades natiivset käsku Loo protsess API imporditud kaudu DllImport. Kui argumendid sisaldavad [s], see asendatakse C: WindowsSystem32. |
Käsu väljund. |
|
+nu |
N / A |
Tagastab pahavara versiooni stringi ja C&C URL-i. |
|; sel juhul: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Loetleb määratud kataloogi (või praeguse töökataloogi) sisu. |
Kataloog Iga alamkataloogi jaoks:
Iga faili jaoks: FAIL Direktor(id) Fail(id) |
||
+dn |
N / A |
Laadib faili sisu üles C&C serverisse uue HTTP POST-päringu kaudu, mis on vormindatud: u@ @ | @ @2@. |
Üks järgmistest: · fail[ ] laaditakse serverisse üles. · faili ei leitud! · failitee tühi! |
||
2 |
Base64-kodeeritud andmed |
Faili |
Tõstab määratud andmed töökataloogi faili. |
fail laaditi alla asukohta [ ] |
Iga tagaukse käsku käsitletakse uues lõimes ja nende tagastusväärtused kodeeritakse seejärel base64-ga ja kombineeritakse muude metaandmetega. Lõpuks saadetakse see string C&C serverisse, kasutades ülalkirjeldatud protokolli ja krüpteerimismeetodit.
Kasutamata tuvastamisest kõrvalehoidmise tehnika
Huvitaval kombel leidsime ühe kasutamata avastamise kõrvalehoidmise tehnika Mango sees. C&C serverist alla laaditud failide ja käskude täitmise eest vastutav funktsioon võtab valikulise teise parameetri – protsessi ID. Kui see on määratud, kasutab Mango seejärel Värskenda ProcThreadAttribute
API määramiseks PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0 x 20007) atribuut määratud protsessi väärtuseks: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0 x 100000000000), nagu näidatud REF _Ref125480118 h Joonis 9
.
Selle tehnika eesmärk on blokeerida lõpp-punkti turbelahenduste laadimine nende kasutajarežiimi koodikonksude kaudu DLL-i kaudu. Kuigi parameetrit meie analüüsitud proovis ei kasutatud, saab selle tulevastes versioonides aktiveerida.
version 1.1.1
Juicy Mix kampaaniaga mitteseotud, leidsime 2023. aasta juulis Mango tagaukse uue versiooni (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), mille mitmed kasutajad selle nime all VirusTotali üles laadisid Menorah.exe. Selle proovi sisemine versioon muudeti versioonilt 1.0.0 versioonile 1.1.1, kuid ainus märkimisväärne muudatus on teise C&C serveri kasutamine, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Koos selle versiooniga avastasime ka Microsoft Wordi dokumendi (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) pahatahtliku makroga, mis kaotab tagaukse. REF _Ref143162004 h Joonis 10
näitab võltsitud hoiatusteadet, mis meelitab kasutajat lubama dokumendile makrosid, ja peibutussisu, mis kuvatakse pärast seda, kui pahatahtlik kood töötab taustal.
Joonis 10. Microsoft Wordi dokument pahatahtliku makroga, mis tühistab Mango v1.1.1
Kompromissijärgsed tööriistad
Selles jaotises vaatleme valikut kompromissijärgsetest tööriistadest, mida kasutati OilRigi kampaaniates Outer Space ja Juicy Mix, mille eesmärk on alla laadida ja täita täiendavaid kasulikke koormusi ning varastada andmeid ohustatud süsteemidest.
SampleCheck5000 (SC5k) allalaadija
SampleCheck5000 (või SC5k) on allalaadija, mida kasutatakse täiendavate OilRigi tööriistade allalaadimiseks ja käivitamiseks, mis on märkimisväärne Microsoft Office Exchange'i veebiteenuste API kasutamise C&C suhtluseks: ründajad loovad sellel meilikontol mustandsõnumeid ja peidavad sinna tagaukse käsud. Seejärel logib allalaadija samale kontole sisse ja sõelub mustandid käskude ja täitmiseks kasulike koormuste hankimiseks.
SC5k kasutab Exchange'i kaugserverisse sisselogimiseks eelmääratletud väärtusi – Microsoft Exchange'i URL-i, e-posti aadressi ja parooli, kuid toetab ka võimalust need väärtused alistada, kasutades konfiguratsioonifaili praeguses töökataloogis nimega seade.klahv. Valisime nime SampleCheck5000 ühe e-posti aadressi põhjal, mida tööriist kosmosekampaanias kasutas.
Kui SC5k logib sisse Exchange'i kaugserverisse, hangib see kõik serveris olevad meilid Kabe
kataloogis, sorteerib need uusimate järgi, jättes alles ainult need mustandid, millel on manused. Seejärel kordab see iga manusega kirja mustandit, otsides sisaldavaid JSON-manuseid "Andmed" kehas. See eraldab võtmest väärtuse andmed JSON-failis base64 dekodeerib ja dekrüpteerib väärtuse ning kutsub cmd.exe tulemuseks oleva käsurea stringi käivitamiseks. Seejärel salvestab SC5k väljundi cmd.exe
täitmine kohalikule muutujale.
Järgmise sammuna teatab allalaadija tulemused OilRigi operaatoritele, luues Exchange'i serveris uue meilisõnumi ja salvestades selle mustandina (ei saada), nagu näidatud REF _Ref98147102
h * MERGEFORMAT Joonis 11
. Sarnast tehnikat kasutatakse failide väljafiltreerimiseks kohalikust lavastuskaustast. Silmuse viimase sammuna logib SC5k kettale ka käsu väljundi krüptitud ja tihendatud vormingus.
Brauseri andmekallurid
OilRigi operaatoritele on omane kasutada oma kompromissijärgsetes tegevustes brauseri andmekallureid. Avastasime Juicy Mixi kampaanias Mango tagaukse kõrval kasutusele võetud kompromissijärgsete tööriistade hulgast kaks uut brauseri andmete varastajat. Nad kustutavad varastatud brauseri andmed % TEMP% kataloogist failidesse nimega Cupdate
ja Värskendus
(sellest ka meie nende nimed: CDumper ja EDumper).
Mõlemad tööriistad on C#/.NET-brauseri andmevarastajad, mis koguvad küpsiseid, sirvimisajalugu ja mandaate Chrome'i (CDumper) ja Edge'i (EDumper) brauserist. Keskendume oma analüüsis CDumperile, kuna mõlemad vargused on praktiliselt identsed, välja arvatud mõned konstandid.
Käivitamisel loob CDumper kasutajate loendi, kellele on installitud Google Chrome. Täitmisel loob varastaja ühenduse Chrome SQLite'iga Küpsised, ajalugu
ja Sisselogimisandmed all olevad andmebaasid %APPDATA%LocalGoogleChrome'i kasutajaandmedja kogub SQL-päringute abil brauseri andmeid, sealhulgas külastatud URL-e ja salvestatud sisselogimisi.
Seejärel dekrüpteeritakse küpsise väärtused ja kogu kogutud teave lisatakse logifaili nimega C: kasutajad AppDataLocalTempCupdate, selgetekstis. See funktsioon on rakendatud CDumperi funktsioonides nimega CookieGrab
(Vt REF _Ref126168131 h Joonis 12
), HistoryGrab, ja PasswordGrab. Pange tähele, et CDumperis pole eksfiltreerimismehhanismi, kuid Mango saab valitud faile tagaukse käsu kaudu välja filtreerida.
Nii avakosmoses kui ka varasemas Väljas merele kampaanias kasutas OilRig C/C++ Chrome'i andmekallurit nimega MKG. Nagu CDumper ja EDumper, suutis MKG varastada ka brauserist kasutajanimesid ja paroole, sirvimisajalugu ja küpsiseid. Seda Chrome'i andmekallurit kasutatakse tavaliselt järgmistes faili asukohtades (kõige levinum on esimene asukoht):
- %USERS%publicprogramsvmwaredir mkc.exe
- %KASUTAJAD%PublicM64.exe
Windows Credential Manageri varastaja
Lisaks brauseri andmete dumpingu tööriistadele kasutas OilRig kampaanias Juicy Mix ka Windows Credential Manageri varastajat. See tööriist varastab Windows Credential Manageri mandaadid ja sarnaselt CDumperile ja EDumperile salvestab need % TEMP% kataloog – seekord faili nimega Värskenda
(sellest ka nimi IDumper). Erinevalt CDumperist ja EDumperist on IDumper rakendatud PowerShelli skriptina.
Nagu brauseri kallurtööriistade puhul, ei ole haruldane, et OilRig kogub Windowsi mandaadihaldurilt mandaate. Varem jälgiti OilRigi operaatoreid kasutades VALUEVAULT, a avalikult kättesaadav, Go-kompileeritud mandaadivarguse tööriist (vt 2019. aasta HardPassi kampaania ja 2020-i kampaania), samal eesmärgil.
Järeldus
OilRig jätkab uuenduste tegemist ja uute implantaatide loomist, millel on tagaukse sarnased võimalused, leides samal ajal uusi viise kaugsüsteemides käskude täitmiseks. Rühm täiustas oma Outer Space kampaania C#/.NET Solari tagaust, et luua Juicy Mix kampaania jaoks uus tagauks nimega Mango. Rühm juurutab komplekti kohandatud kompromissijärgseid tööriistu, mida kasutatakse mandaatide, küpsiste ja sirvimisajaloo kogumiseks suurematest brauseritest ja Windowsi mandaadihaldurist. Vaatamata nendele uuendustele tugineb OilRig jätkuvalt väljakujunenud viisidele kasutajaandmete hankimiseks.
Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil ohuintel@eset.com.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 |
Faili |
ESET-i tuvastamise nimi |
Kirjeldus |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MinuCV.doc |
VBA/OilRig.C |
Mango pahatahtliku makroga dokument. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS tilguti. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Päikeseenergia tagauks. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Mango tagauks (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Mango tagauks (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Edge data dumper. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Chrome andmekallur. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Windows Credential Manageri kallur. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome andmekallur. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome andmekallur. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome andmekallur. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k allalaadija (32-bitine versioon). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k allalaadija (64-bitine versioon). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
SC5k allalaadija (64-bitine versioon). |
võrk
IP |
Domeen |
Hostimise pakkuja |
Esimest korda nähtud |
Detailid |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 13 MITER ATT&CK raamistikust.
Taktika |
ID |
Nimi |
Kirjeldus |
Ressursside arendamine |
Kompromissi infrastruktuur: server |
Nii Outer Space kui ka Juicy Mixi kampaaniates on OilRig ohustanud seaduslikke veebisaite, et lavastada pahatahtlikke tööriistu ning C&C suhtlust. |
|
Võimaluste arendamine: pahavara |
OilRig on oma tegevuses kasutamiseks välja töötanud kohandatud tagauksed (Solar ja Mango), allalaadija (SC5k) ja komplekti mandaadivarguse tööriistu. |
||
Etapi võimalused: laadige üles pahavara |
OilRig on oma C&C serveritesse üles laadinud pahatahtlikud komponendid ning salvestanud eellavastatud failid ja käsud Kabe Office 365 konto meilikataloog SC5k jaoks allalaadimiseks ja käivitamiseks. |
||
Lava võimalused: üleslaadimise tööriist |
OilRig on oma C&C serveritesse üles laadinud pahatahtlikud tööriistad ja salvestanud eellavastatud failid Kabe Office 365 konto meilikataloog SC5k jaoks allalaadimiseks ja käivitamiseks. |
||
Esialgne juurdepääs |
Andmepüük: andmepüügimanus |
Tõenäoliselt levitas OilRig oma kampaaniaid Outer Space ja Juicy Mix andmepüügimeilide kaudu, millele olid lisatud VBS-i tilgutajad. |
|
Täitmine |
Plaanitud ülesanne/töö: ajastatud ülesanne |
OilRigi IDumper, EDumper ja CDumper tööriistad kasutavad ajastatud ülesandeid nimega st, toim , ja cu et teostada end teiste kasutajate kontekstis. Solar ja Mango kasutavad oma põhifunktsioonide iteratiivseks täitmiseks taimeris C#/.NET-ülesannet. |
|
Käsu- ja skriptitõlk: PowerShell |
OilRigi IDumper tööriist kasutab täitmiseks PowerShelli. |
||
Käskude ja skriptitõlk: Windowsi käsukest |
OilRigi päikese, SC5k, IDumperi, EDumperi ja CDumperi kasutamine cmd.exe ülesannete täitmiseks süsteemis. |
||
Käskude ja skriptitõlk: Visual Basic |
OilRig kasutab oma Solar- ja Mango-tagauste edastamiseks ja säilitamiseks pahatahtlikku VBScripti. |
||
Natiivne API |
OilRigi Mango tagauks kasutab Loo protsess Windows API täitmiseks. |
||
Püsivus |
Plaanitud ülesanne/töö: ajastatud ülesanne |
OilRigi VBS-i tilguti ajastab ülesande nimega Meeldetuletusülesanne Mango tagaukse püsivuse loomiseks. |
|
Kaitsest kõrvalehoidmine |
Maskeerimine: sobitage õiguspärane nimi või asukoht |
OilRig kasutab oma pahavara jaoks seaduslikke või kahjutuid failinimesid, et varjata end kaitsjate ja turvatarkvara eest. |
|
Hägustatud failid või teave: tarkvara pakkimine |
OilRig on kasutanud SAPIEN skripti pakendaja ja SmartAssembly obfuskaator selle IDumper tööriista häguseks muutmiseks. |
||
Hägustatud failid või teave: manustatud kasulikud koormused |
OilRigi VBS-i tilgutites on pahatahtlikud kasulikud koormused base64 alamstringidena. |
||
Maskeerimine: maskeerimisülesanne või -teenus |
Mango VBS-i tilguti ajastab ülesande koos kirjeldusega selleks, et näida õigustatud Käivitage märkmik teatud kellaajal. |
||
Indikaatori eemaldamine: selge püsivus |
OilRigi kompromissijärgsed tööriistad kustutavad oma ajastatud ülesanded teatud aja möödudes. |
||
Failide või teabe deobfuskeerimine/dekodeerimine |
OilRig kasutab oma stringide ja manustatud kasulike koormuste kaitsmiseks mitmeid hägustamise meetodeid. |
||
Usalduse kontrolli all hoidmine |
SC5k kasutab allalaadimissaidina Office 365, mis on üldiselt usaldusväärne kolmas osapool ja mida kaitsjad sageli tähelepanuta jätavad. |
||
Kahjustada kaitsemehhanisme |
OilRigi Mango tagauksel on (veel) kasutamata võimalus blokeerida lõpp-punkti turbelahendused oma kasutajarežiimi koodi laadimast konkreetsetes protsessides. |
||
Juurdepääs mandaatidele |
Mandaat paroolipoodidest: mandaat veebibrauserites |
OilRigi kohandatud tööriistad MKG, CDumper ja EDumper saavad Chrome'i ja Edge'i brauserite kaudu mandaate, küpsiseid ja sirvimisajalugu hankida. |
|
Mandaat paroolipoodidest: Windowsi mandaadihaldur |
OilRigi kohandatud mandaadi dumpingu tööriist IDumper võib varastada Windowsi mandaadihalduri mandaate. |
||
avastus |
Süsteemi teabe avastamine |
Mango saab ohustatud arvuti nime. |
|
Failide ja kataloogide avastamine |
Mangol on käsk loetleda määratud kataloogi sisu. |
||
Süsteemi omaniku/kasutaja avastamine |
Mango saab ohvri kasutajanime. |
||
Konto avastamine: kohalik konto |
OilRigi tööriistad EDumper, CDumper ja IDumper suudavad loetleda kõik ohustatud hosti kasutajakontod. |
||
Brauseri teabe avastamine |
MKG jätab Chrome'i ajaloo ja järjehoidjad välja. |
||
Juhtimine ja kontroll |
Rakenduskihi protokoll: veebiprotokollid |
Mango kasutab C&C suhtluses HTTP-d. |
|
Sisendtööriista ülekanne |
Mangol on võimalik C&C serverist alla laadida täiendavaid faile, et neid hiljem täita. |
||
Andmete hägustamine |
Solar ja SC5k kasutavad lihtsat XOR-krüptimise meetodit koos gzip-tihendusega, et hägustada andmeid puhkeolekus ja edastamisel. |
||
Veebiteenus: kahesuunaline suhtlus |
SC5k kasutab Office 365 failide allalaadimiseks ja failide üleslaadimiseks Kabe kataloogi seaduslikul e-posti kontol. |
||
Andmete kodeerimine: standardne kodeering |
Solar, Mango ja MKG base64 dekodeerivad andmed enne C&C serverisse saatmist. |
||
Krüpteeritud kanal: sümmeetriline krüptograafia |
Mango kasutab võtmega XOR-šifrit K&4g andmete krüpteerimiseks C&C suhtluses. |
||
Krüpteeritud kanal: asümmeetriline krüptograafia |
Mango kasutab C&C suhtluseks TLS-i. |
||
Välja filtreerimine |
Eksfiltratsioon C2 kanali kaudu |
Mango, Solar ja SC5k kasutavad oma C&C kanaleid väljafiltreerimiseks. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Võimalik
- MEIST
- üle
- konto
- Kontod
- tegevus
- aktiivne
- aktiivselt
- tegevus
- osalejad
- lisatud
- lisamine
- Täiendavad lisad
- Lisaks
- aadress
- aadressid
- Lisab
- pärast
- pärast
- vastu
- Agent
- eesmärk
- Materjal: BPA ja flataatide vaba plastik
- lubatud
- ALMA
- mööda
- kõrval
- Tähestik
- Ka
- vahel
- an
- analüüs
- analüüsitud
- ja
- Teine
- mistahes
- API
- API-liidesed
- ilmuma
- ilmub
- rakendatud
- APT
- araabia
- Araabia Ühendemiraadid
- Arhiiv
- OLEME
- argumendid
- Array
- AS
- koondatud
- Kokkupanek
- astronoomia
- At
- Reageerib
- Automatiseeritud
- automaatselt
- tagauks
- Tagauksed
- tagapõhi
- põhineb
- põhiline
- BE
- olnud
- enne
- hakkas
- taga
- on
- alla
- Pealegi
- vahel
- Blokeerima
- keha
- järjehoidjad
- mõlemad
- brauseri
- brauserid
- Sirvimine
- ehitatud
- äri
- kuid
- by
- helistama
- kutsutud
- Kutsub
- Kampaania
- Kampaaniad
- CAN
- võimeid
- võime
- kaasas
- juhul
- kindel
- muutma
- muutunud
- Vaidluste lahendamine
- Kanal
- kanalid
- iseloomulik
- märki
- keemiline
- valik
- Valisin
- Kroom
- salakiri
- selge
- kood
- koguma
- Kollektsioneerimine
- COM
- kombineeritud
- ühine
- tavaliselt
- edastama
- KOMMUNIKATSIOON
- Side
- Ettevõtte omad
- komponendid
- kompromiss
- Kompromissitud
- arvuti
- konfiguratsioon
- kinnitus
- Võta meiega ühendust
- ühendab
- kontakt
- sisaldama
- sisu
- kontekst
- jätkas
- pidev
- ümber
- küpsised
- võiks
- looma
- loob
- loomine
- loomine
- MANDAAT
- volikiri
- Praegune
- tava
- andmed
- andmebaasid
- Avaldage lahti
- Kaitsjad
- tarnima
- juurutada
- lähetatud
- juurutamine
- juurutab
- Tuletatud
- kirjeldatud
- kirjeldus
- Vaatamata
- üksikasjalik
- tuvastatud
- Detection
- arenenud
- erinev
- avastasin
- avastus
- kuvatakse
- jagatud
- jagab
- dokument
- ei
- lae alla
- allalaadimine
- eelnõu
- Drop
- langes
- Kukkumine
- Tilgad
- maha kallama
- iga
- Ajalugu
- Ida
- ida-
- serv
- kumbki
- kirju
- varjatud
- Emirates
- töötavad
- võimaldama
- krüpteeritud
- krüpteerimist
- Lõpp-punkt
- Lõpp-punkti turvalisus
- energia
- köitev
- spionaaž
- looma
- asutatud
- kõrvalehoidumise
- Iga
- näide
- vahetamine
- ainult
- täitma
- täidetud
- Täidab
- hukkamine
- täitmine
- eksfiltreerimine
- Väljavõtted
- võlts
- fail
- Faile
- Lõpuks
- finants-
- leidmine
- järeldused
- esimene
- paigaldamine
- voog
- Keskenduma
- keskendub
- Järel
- järgneb
- eest
- formaat
- avastatud
- Raamistik
- Alates
- alates 2021
- funktsioon
- funktsionaalsused
- funktsionaalsus
- funktsioonid
- edasi
- tulevik
- kogumine
- üldiselt
- loodud
- genereerib
- Globaalne
- eesmärk
- Google Chrome
- Valitsus
- Valitsused
- Grupp
- Grupi omad
- Varred
- hash
- Olema
- tervishoid
- sellest tulenevalt
- siin
- HEX
- varjama
- ajalugu
- Konksud
- võõrustaja
- Kuidas
- HTML
- http
- HTTPS
- inim-
- Inimressursid
- ID
- identiques
- tunnus
- if
- pilt
- rakendatud
- tööriistad
- paranenud
- in
- sisaldama
- Kaasa arvatud
- tõepoolest
- info
- info
- Infrastruktuur
- esialgne
- uuendama
- uuendusi
- Päringud
- paigaldatud
- selle asemel
- juhised
- Intelligentsus
- sisemine
- sisse
- sisse
- Iraan
- Iisrael
- IT
- ITS
- ise
- töö
- Json
- Juuli
- lihtsalt
- pidamine
- Võti
- teatud
- viimane
- käivitatud
- kiht
- kõige vähem
- Liibanon
- lahkus
- õigustatud
- nagu
- Tõenäoliselt
- joon
- LINK
- nimekiri
- Loetletud
- loetelu
- Nimekirjad
- laadimine
- kohalik
- liising
- kohad
- logi
- Pikk
- otsin
- masin
- Makro
- makrosid
- põhiline
- peamine
- malware
- juht
- Marlin
- teesklus
- Vastama
- MD5
- mehhanism
- Mälu
- mainitud
- sõnum
- kirjad
- Metaandmed
- meetod
- meetodid
- Microsoft
- Kesk-
- Lähis-Ida
- MILAN
- millisekundit
- protokoll
- segu
- viis
- Pealegi
- kõige
- enamasti
- käike
- mitmekordne
- nimi
- Nimega
- nimelt
- nimed
- nimetamine
- riiklik
- emakeelena
- neto
- Sellegipoolest
- Uus
- järgmine
- nst
- ei
- märkimisväärne
- eelkõige
- number
- numbrid
- saama
- saab
- toimunud
- of
- Pakkumised
- Office
- sageli
- on
- ONE
- ainult
- Operations
- ettevõtjad
- valik
- or
- et
- organisatsioon
- organisatsioonid
- Muu
- meie
- välja
- kosmoses
- väljund
- üle
- ignoreerimine
- ülevaade
- lehekülg
- parameeter
- parameetrid
- partei
- Parool
- paroolid
- tee
- esitades
- periood
- püsivus
- Phishing
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- Punkt
- võrra
- Portal
- positsioon
- võimalik
- post
- PowerShell
- praktiliselt
- eelkäija
- eelmine
- varem
- esmane
- era-
- tõenäoliselt
- protsess
- Töödeldud
- Protsessid
- Toode
- kaitsma
- protokoll
- anda
- avaldatud
- eesmärk
- päringud
- juhuslik
- pigem
- Lugemine
- saadud
- hiljuti
- registreerima
- seotud
- lootma
- kauge
- eemaldamine
- Eemaldatud
- asendatakse
- aru
- Aruanded
- taotleda
- teadustöö
- Teadlased
- Vahendid
- vastavalt
- vastus
- vastutav
- REST
- tulemuseks
- Tulemused
- tagasipöördumine
- läbi
- rig
- jooks
- jooksmine
- s
- sama
- Säästa
- salvestatud
- säästmine
- nägin
- ajakava
- plaanitud
- kava
- skeemid
- käsikiri
- SEA
- Teine
- sekundit
- Osa
- Sektorid
- turvalisus
- vaata
- nähtud
- väljavalitud
- valik
- saatmine
- saadab
- Saadetud
- Seeria
- teenima
- server
- Serverid
- teenus
- Teenused
- komplekt
- mitu
- hai
- Shell
- näidatud
- Näitused
- sarnane
- sarnasused
- lihtne
- alates
- site
- väike
- So
- tarkvara
- päikese-
- Lahendused
- mõned
- Ruum
- konkreetse
- määratletud
- laiali
- virnastamine
- Stage
- matkimine
- standard
- algab
- varastatakse
- Samm
- Sammud
- varastatud
- Peatus
- ladustatud
- kauplustes
- nöör
- järgnev
- Järgnevalt
- selline
- Toetab
- vahetatud
- sümbol
- süsteem
- süsteemid
- tabel
- võtnud
- võtab
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- Ülesanne
- ülesanded
- Tehniline
- Tehniline analüüs
- telekommunikatsioon
- kui
- et
- .
- oma
- Neile
- ennast
- SIIS
- Seal.
- Need
- nad
- asjad
- Kolmas
- see
- oht
- ohus osalejad
- Ohuaruanne
- läbi kogu
- Seega
- nurjata
- Suhted
- aeg
- Kapslid
- et
- tööriist
- töövahendid
- ülemine
- transiit
- transportida
- Usalda
- Usaldatud
- kaks
- tüüp
- tüüpiline
- tüüpiliselt
- Aeg-ajalt
- all
- Ühendatud
- Ühendatud Araabia
- Araabia Ühendemiraadid
- erinevalt
- kasutamata
- ajakohastatud
- laetud
- Üleslaadimine
- peale
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- v1
- väärtus
- Väärtused
- muutuja
- sort
- eri
- versioon
- versiooni teave
- versioonid
- vertikaalid
- väga
- kaudu
- Ohver
- ohvreid
- visiit
- külastatud
- hoiatus
- oli
- kuidas
- we
- web
- veebiserver
- veebiteenused
- veebisait
- veebilehed
- Hästi
- olid
- mis
- kuigi
- kogu
- laius
- will
- aknad
- koos
- jooksul
- sõna
- töövoog
- töö
- kirjutamine
- kirjalik
- jah
- veel
- sephyrnet