I ricercatori ESET hanno analizzato due campagne del gruppo OilRig APT: Outer Space (2021) e Juicy Mix (2022). Entrambe queste campagne di cyberspionaggio hanno preso di mira esclusivamente organizzazioni israeliane, il che è in linea con l'attenzione del gruppo sul Medio Oriente, e hanno utilizzato lo stesso manuale: OilRig ha prima compromesso un sito Web legittimo da utilizzare come server C&C e quindi ha utilizzato i dropper VBS per fornire un C# /.NET alle sue vittime, distribuendo anche una varietà di strumenti post-compromissione utilizzati principalmente per l'esfiltrazione di dati sui sistemi di destinazione.
Nella campagna Outer Space, OilRig ha utilizzato una semplice backdoor C#/.NET precedentemente non documentata che abbiamo chiamato Solar, insieme a un nuovo downloader, SampleCheck5000 (o SC5k), che utilizza l'API dei servizi Web Microsoft Office Exchange per le comunicazioni C&C. Per la campagna Juicy Mix, gli autori delle minacce hanno migliorato Solar per creare la backdoor Mango, che possiede funzionalità e metodi di offuscamento aggiuntivi. Oltre a rilevare il set di strumenti dannosi, abbiamo anche informato il CERT israeliano dei siti Web compromessi.
Punti chiave di questo post sul blog:
- ESET ha osservato due campagne OilRig avvenute nel corso del 2021 (Outer Space) e del 2022 (Juicy Mix).
- Gli operatori hanno preso di mira esclusivamente organizzazioni israeliane e hanno compromesso i siti Web israeliani legittimi per utilizzarli nelle loro comunicazioni C&C.
- Hanno utilizzato una nuova backdoor C#/.NET della prima fase, precedentemente non documentata, in ogni campagna: Solar in Outer Space, poi il suo successore Mango in Juicy Mix.
- Entrambe le backdoor sono state implementate dai dropper VBS, presumibilmente diffusi tramite e-mail di spearphishing.
- In entrambe le campagne sono stati implementati numerosi strumenti post-compromissione, in particolare il downloader SC5k che utilizza l'API dei servizi Web Microsoft Office Exchange per le comunicazioni C&C e diversi strumenti per rubare dati e credenziali del browser da Windows Credential Manager.
OilRig, noto anche come APT34, Lyceum o Siamesekitten, è un gruppo di spionaggio informatico attivo almeno dal 2014 e è comunemente creduto avere sede in Iran. Il gruppo si rivolge ai governi del Medio Oriente e a una varietà di settori verticali, tra cui quello chimico, energetico, finanziario e delle telecomunicazioni. OilRig ha condotto la campagna DNSpionage nel 2018 ed 2019, che ha preso di mira vittime in Libano e negli Emirati Arabi Uniti. Nel 2019 e nel 2020, OilRig ha continuato ad attaccare con il HardPass campagna, che ha utilizzato LinkedIn per prendere di mira le vittime del Medio Oriente nei settori energetico e governativo. Nel 2021, OilRig ha aggiornato il suo DanBot backdoor e ha iniziato a distribuire il file Squalo, Milano, e backdoor Marlin, menzionati nel file Emissione T3 2021 del Rapporto sulle minacce ESET.
In questo post del blog forniamo un'analisi tecnica delle backdoor Solar e Mango, del dropper VBS utilizzato per fornire Mango e degli strumenti post-compromesso implementati in ciascuna campagna.
Attribuzione
Il collegamento iniziale che ci ha permesso di collegare la campagna Outer Space a OilRig è l'utilizzo dello stesso dumper personalizzato di dati Chrome (tracciato dai ricercatori ESET con il nome MKG) come nel caso Campagna Out to Sea. Abbiamo osservato che la backdoor Solar distribuiva lo stesso campione di MKG di Out to Sea sul sistema del bersaglio, insieme ad altre due varianti.
Oltre alla sovrapposizione di strumenti e targeting, abbiamo anche notato molteplici somiglianze tra la backdoor Solar e le backdoor utilizzate in Out to Sea, principalmente legate al caricamento e al download: sia Solar che Shark, un'altra backdoor di OilRig, utilizzano URI con semplici schemi di caricamento e download per comunicare con il server C&C, con una “d” per download e una “u” per upload; inoltre, il downloader SC5k utilizza sottodirectory di upload e download proprio come altri backdoor OilRig, vale a dire ALMA, Shark, DanBot e Milan. Questi risultati servono come ulteriore conferma che il colpevole dietro Outer Space è effettivamente OilRig.
Per quanto riguarda i legami della campagna Juicy Mix con OilRig, oltre a prendere di mira le organizzazioni israeliane – cosa tipica di questo gruppo di spionaggio – ci sono somiglianze di codice tra Mango, la backdoor utilizzata in questa campagna, e Solar. Inoltre, entrambe le backdoor sono state implementate dai dropper VBS con la stessa tecnica di offuscamento delle stringhe. La scelta degli strumenti post-compromesso utilizzati in Juicy Mix rispecchia anche le precedenti campagne OilRig.
Panoramica della campagna nello spazio extra-atmosferico
Chiamata così per l'uso di uno schema di denominazione basato sull'astronomia nei nomi delle funzioni e nei compiti, Outer Space è una campagna OilRig del 2021. In questa campagna, il gruppo ha compromesso un sito israeliano di risorse umane e successivamente lo ha utilizzato come server C&C per il suo precedente Backdoor C#/.NET non documentato, Solar. Solar è una semplice backdoor con funzionalità di base come leggere e scrivere da disco e raccogliere informazioni.
Attraverso Solar, il gruppo ha quindi distribuito un nuovo downloader SC5k, che utilizza l'API dei servizi Web Exchange di Office per scaricare strumenti aggiuntivi per l'esecuzione, come mostrato in RIF _Rif142655526 h figura 1
. Per estrarre i dati del browser dal sistema della vittima, OilRig ha utilizzato un dumper di dati Chrome chiamato MKG.
Panoramica della campagna Juicy Mix
Nel 2022 OilRig ha lanciato un’altra campagna contro le organizzazioni israeliane, questa volta con un set di strumenti aggiornato. Abbiamo chiamato la campagna Juicy Mix per l'uso di una nuova backdoor OilRig, Mango (in base al nome dell'assembly interno e al nome del file, Mango.exe). In questa campagna, gli autori della minaccia hanno compromesso un legittimo sito web israeliano di un portale per il lavoro da utilizzare nelle comunicazioni C&C. Gli strumenti dannosi del gruppo sono stati poi utilizzati contro un'organizzazione sanitaria, anch'essa con sede in Israele.
La backdoor di prima fase di Mango è il successore di Solar, anch'esso scritto in C#/.NET, con notevoli modifiche che includono funzionalità di esfiltrazione, uso di API native e aggiunta di codice di evasione di rilevamento.
Insieme a Mango, abbiamo rilevato anche due dumper di dati del browser precedentemente non documentati utilizzati per rubare cookie, cronologia di navigazione e credenziali dai browser Chrome ed Edge, nonché un ladro di Windows Credential Manager, tutti attribuiti a OilRig. Questi strumenti sono stati tutti utilizzati contro lo stesso obiettivo di Mango, così come contro altre organizzazioni israeliane compromesse nel corso del 2021 e del 2022. RIF _Rif125475515 h figura 2
mostra una panoramica di come i vari componenti sono stati utilizzati nella campagna Juicy Mix.
Analisi tecnica
In questa sezione forniamo un'analisi tecnica delle backdoor Solar e Mango e del downloader SC5k, nonché di altri strumenti che sono stati implementati sui sistemi presi di mira in queste campagne.
Contagocce VBS
Per stabilire un punto d'appoggio nel sistema del bersaglio, in entrambe le campagne sono stati utilizzati dropper di Visual Basic Script (VBS), che molto probabilmente sono stati diffusi tramite e-mail di spearphishing. La nostra analisi di seguito si concentra sullo script VBS utilizzato per eliminare Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); nota che il contagocce di Solar è molto simile.
Lo scopo del dropper è fornire la backdoor Mango incorporata, pianificare un'attività per la persistenza e registrare la compromissione con il server C&C. La backdoor incorporata viene archiviata come una serie di sottostringhe base64, che vengono concatenate e decodificate base64. Come mostrato in RIF _Rif125477632 h figura 3
, lo script utilizza anche una semplice tecnica di deoffuscamento delle stringhe, in cui le stringhe vengono assemblate utilizzando operazioni aritmetiche e Chr funzione.
Oltre a ciò, il dropper VBS di Mango aggiunge un altro tipo di offuscamento delle stringhe e codice per impostare la persistenza e registrarsi con il server C&C. Come mostrato in RIF _Rif125479004 h * UNISCIFORMATO figura 4
, per deoffuscare alcune stringhe, lo script sostituisce tutti i caratteri del set #*+-_)(}{@$%^& con 0, quindi divide la stringa in numeri a tre cifre che vengono poi convertiti in caratteri ASCII utilizzando il comando Chr
funzione. Ad esempio, la stringa 116110101109117+99111$68+77{79$68}46-50108109120115}77 si traduce in Msxml2.DOMDocument.
Una volta incorporata la backdoor nel sistema, il dropper crea un'attività pianificata che esegue Mango (o Solar, nell'altra versione) ogni 14 minuti. Infine, lo script invia un nome con codifica base64 del computer compromesso tramite una richiesta POST per registrare la backdoor con il suo server C&C.
Backdoor solare
Solar è la backdoor utilizzata nella campagna Outer Space di OilRig. Possedendo funzionalità di base, questa backdoor può essere utilizzata, tra le altre cose, per scaricare ed eseguire file ed esfiltrare automaticamente file memorizzati.
Abbiamo scelto il nome Solar in base al nome file utilizzato da OilRig, Solar.exe. È un nome appropriato poiché la backdoor utilizza uno schema di denominazione astronomico per i nomi delle funzioni e delle attività utilizzate in tutto il codice binario (mercurio, Venus, marzo, Terrae Giove).
Solar inizia l'esecuzione eseguendo i passaggi illustrati in RIF _Rif98146919 h * UNISCIFORMATO figura 5
.
La backdoor crea due attività, Terra
ed Venus, che corrono nella memoria. Non esiste una funzione di arresto per nessuna delle due attività, quindi verranno eseguite a tempo indeterminato. Terra
è programmato per l'esecuzione ogni 30 secondi e Venus
è impostato per essere eseguito ogni 40 secondi.
Terra è il compito primario, responsabile della maggior parte delle funzioni di Solar. Comunica con il server C&C utilizzando la funzione Mercurio al sole, che invia informazioni di base sul sistema e sulla versione del malware al server C&C e quindi gestisce la risposta del server. Terra invia le seguenti informazioni al server C&C:
- La stringa (@); l'intera stringa è crittografata.
- La stringa 1.0.0.0, crittografato (possibilmente un numero di versione).
- La stringa 30000, crittografato (possibilmente il runtime pianificato di Terra
La crittografia e la decrittografia sono implementate nelle funzioni denominate GioveE
ed GioveD, rispettivamente. Entrambi chiamano una funzione denominata GioveX, che implementa un ciclo XOR come mostrato in RIF _Rif98146962 h figura 6
.
La chiave deriva da una variabile stringa globale codificata, 6sEj7*0B7#7, e un nonce: in questo caso, una stringa esadecimale casuale lunga da 2 a 24 caratteri. Dopo la crittografia XOR, viene applicata la codifica base64 standard.
Il server web di una società israeliana di risorse umane, che OilRig ha compromesso ad un certo punto prima di implementare Solar, è stato utilizzato come server C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Prima di essere aggiunto all'URI, il nonce di crittografia viene crittografato e il valore della stringa di query iniziale, rt, è impostato per d qui, probabilmente per "download".
L'ultimo passaggio di Mercurio al sole
la funzione è elaborare una risposta dal server C&C. Lo fa recuperando una sottostringa della risposta, che si trova tra i caratteri QQ@ ed @kk. Questa risposta è una stringa di istruzioni separate da asterischi (*) che viene elaborato in un array. Terra
quindi esegue i comandi backdoor, che includono il download di payload aggiuntivi dal server, l'elenco dei file sul sistema della vittima e l'esecuzione di file eseguibili specifici.
L'output del comando viene quindi compresso con gzip utilizzando la funzione Nettuno
e crittografato con la stessa chiave di crittografia e un nuovo nonce. Quindi i risultati vengono caricati sul server C&C, quindi:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid e il nuovo nonce sono crittografati con il file GioveE
funzione, e qui il valore di rt è impostato su u, probabilmente per "caricamento".
Venus, l'altra attività pianificata, viene utilizzata per l'esfiltrazione automatizzata dei dati. Questa piccola attività copia il contenuto dei file da una directory (denominata anche Venus) al server C&C. Questi file vengono probabilmente rilasciati qui da qualche altro strumento OilRig, non ancora identificato. Dopo aver caricato un file, l'attività lo elimina dal disco.
Porta sul retro del mango
Per la sua campagna Juicy Mix, OilRig è passata dalla backdoor Solar a Mango. Ha un flusso di lavoro simile a Solar e funzionalità sovrapposte, ma ci sono comunque diversi cambiamenti degni di nota:
- Utilizzo di TLS per le comunicazioni C&C.
- Utilizzo di API native, anziché API .NET, per eseguire file e comandi shell.
- Sebbene non utilizzato attivamente, è stato introdotto un codice di evasione del rilevamento.
- Supporto per l'esfiltrazione automatizzata (Venus
- Il supporto per la modalità registro è stato rimosso e i nomi dei simboli sono stati offuscati.
Contrariamente allo schema di denominazione a tema astronomico di Solar, Mango offusca i nomi dei simboli, come si può vedere in RIF _Rif142592880 h figura 7
.
Oltre all'offuscamento del nome del simbolo, Mango utilizza anche il metodo di impilamento delle stringhe (come mostrato in RIF _Rif142592892 h figura 8
RIF _Rif141802299 h
) per offuscare le stringhe, il che complica l'uso di semplici metodi di rilevamento.
Similmente a Solar, la backdoor Mango inizia creando un'attività in memoria, programmata per essere eseguita indefinitamente ogni 32 secondi. Questa attività comunica con il server C&C ed esegue comandi backdoor, simili a quelli di Solar Terra
compito. Mentre Solar crea anche Venus, un'attività di esfiltrazione automatizzata, questa funzionalità è stata sostituita in Mango da un nuovo comando backdoor.
Nell'attività principale, Mango genera innanzitutto un identificatore della vittima, , da utilizzare nelle comunicazioni C&C. L'ID viene calcolato come hash MD5 di , formattato come stringa esadecimale.
Per richiedere un comando backdoor, Mango invia quindi la stringa D@ @ | al server C&C http://www.darush.co[.]il/ads.asp – un legittimo portale di lavoro israeliano, probabilmente compromesso da OilRig prima di questa campagna. Abbiamo informato del compromesso l’organizzazione nazionale israeliana CERT.
Il corpo della richiesta è costruito come segue:
- I dati da trasmettere vengono crittografati XOR utilizzando la chiave di crittografia Domande e 4g, quindi codificato base64.
- Da questo alfabeto viene generata una stringa pseudocasuale di 3-14 caratteri (come appare nel codice): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- I dati crittografati vengono inseriti in una posizione pseudocasuale all'interno della stringa generata, racchiusi tra [@ ed @] Delimitatori.
Per comunicare con il proprio server C&C, Mango utilizza il protocollo TLS (Transport Layer Security), che viene utilizzato per fornire un ulteriore livello di crittografia.
Allo stesso modo, il comando backdoor ricevuto dal server C&C è crittografato XOR, codificato base64 e quindi racchiuso tra [@ ed @] all'interno del corpo della risposta HTTP. Anche il comando stesso lo è NCNT
(nel qual caso non viene intrapresa alcuna azione) o una stringa di più parametri delimitati da
@, come dettagliato in RIF _Rif125491491 h Table 1
, che elenca i comandi backdoor di Mango. Notare che non è elencato nella tabella, ma viene utilizzato nella risposta al server C&C.
Tabella 1. Elenco dei comandi backdoor di Mango
Argo1 |
Argo2 |
Argo3 |
Azione intrapresa |
Valore di ritorno |
|
1 o stringa vuota |
+sp |
N/A |
Esegue il comando file/shell specificato (con gli argomenti opzionali), utilizzando il comando nativo CreateProcess API importata tramite DllImport. Se gli argomenti contengono [s], è sostituito da C: WindowsSystem32. |
Uscita del comando. |
|
+nu |
N/A |
Restituisce la stringa della versione del malware e l'URL C&C. |
|; in questo caso: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+piano |
N/A |
Enumera il contenuto della directory specificata (o della directory di lavoro corrente). |
Elenco di Per ogni sottodirectory:
Per ogni file: FILE Dir.(i) File) |
||
+dn |
N/A |
Carica il contenuto del file sul server C&C tramite una nuova richiesta HTTP POST formattata: u@ @ | @ @2@. |
Uno di: · file[ ] viene caricato sul server. · file non trovato! · percorso del file vuoto! |
||
2 |
Dati con codifica Base64 |
Nome del file |
Scarica i dati specificati in un file nella directory di lavoro. |
file scaricato nel percorso[ ] |
Ogni comando backdoor viene gestito in un nuovo thread e i relativi valori restituiti vengono quindi codificati base64 e combinati con altri metadati. Infine, la stringa viene inviata al server C&C utilizzando lo stesso protocollo e metodo di crittografia descritti sopra.
Tecnica di evasione dal rilevamento non utilizzata
È interessante notare che ne abbiamo trovato uno inutilizzato tecnica di evasione del rilevamento all'interno di Mango. La funzione responsabile dell'esecuzione di file e comandi scaricati dal server C&C accetta un secondo parametro opzionale: un ID processo. Se impostato, Mango utilizza quindi il file UpdateProcThreadAttribute
API per impostare il PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) attributo per il processo specificato sul valore: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), Come mostrato in RIF _Rif125480118 h figura 9
.
L'obiettivo di questa tecnica è impedire alle soluzioni di sicurezza degli endpoint di caricare i relativi hook di codice in modalità utente tramite una DLL in questo processo. Sebbene il parametro non sia stato utilizzato nel campione analizzato, potrebbe essere attivato nelle versioni future.
Versione: 1.1.1
Non correlata alla campagna Juicy Mix, nel luglio 2023 abbiamo trovato una nuova versione della backdoor di Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), caricato su VirusTotal da diversi utenti sotto il nome Menorah.exe. La versione interna in questo esempio è stata modificata da 1.0.0 a 1.1.1, ma l'unico cambiamento degno di nota è l'utilizzo di un server C&C diverso, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Insieme a questa versione abbiamo scoperto anche un documento Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) con una macro dannosa che apre la backdoor. RIF _Rif143162004 h figura 10
mostra il falso messaggio di avviso, invitando l'utente ad abilitare le macro per il documento, e il contenuto esca che viene visualizzato successivamente, mentre il codice dannoso viene eseguito in background.
Figura 10. Documento di Microsoft Word con una macro dannosa che rilascia Mango v1.1.1
Strumenti post-compromesso
In questa sezione, esaminiamo una selezione di strumenti post-compromissione utilizzati nelle campagne Outer Space e Juicy Mix di OilRig, volti a scaricare ed eseguire carichi utili aggiuntivi e a rubare dati dai sistemi compromessi.
Scaricatore di SampleCheck5000 (SC5k).
SampleCheck5000 (o SC5k) è un downloader utilizzato per scaricare ed eseguire strumenti OilRig aggiuntivi, noto per l'utilizzo dell'API dei servizi Web Microsoft Office Exchange per le comunicazioni C&C: gli aggressori creano bozze di messaggi in questo account e-mail e vi nascondono i comandi backdoor. Successivamente, il downloader accede allo stesso account e analizza le bozze per recuperare comandi e payload da eseguire.
SC5k utilizza valori predefiniti (URL di Microsoft Exchange, indirizzo e-mail e password) per accedere al server Exchange remoto, ma supporta anche l'opzione di sovrascrivere questi valori utilizzando un file di configurazione nella directory di lavoro corrente denominato tasto.impostazione. Abbiamo scelto il nome SampleCheck5000 in base a uno degli indirizzi e-mail utilizzati dallo strumento nella campagna Outer Space.
Una volta che SC5k accede al server Exchange remoto, recupera tutte le e-mail nel file Abbozzo
directory, le ordina in base alle più recenti, mantenendo solo le bozze con allegati. Quindi esegue un'iterazione su ogni bozza di messaggio con un allegato, cercando gli allegati JSON che contengono "dati" nel corpo. Estrae il valore dalla chiave dati nel file JSON, base64 decodifica e decrittografa il valore e chiama cmd.exe per eseguire la stringa della riga di comando risultante. SC5k salva quindi l'output del file cmd.exe
esecuzione su una variabile locale.
Come passaggio successivo del ciclo, il downloader segnala i risultati agli operatori OilRig creando un nuovo messaggio di posta elettronica sul server Exchange e salvandolo come bozza (non inviandolo), come mostrato in RIF _Rif98147102
h * UNISCIFORMATO figura 11
. Una tecnica simile viene utilizzata per estrarre file da una cartella di staging locale. Come ultimo passaggio del ciclo, SC5k registra anche l'output del comando in un formato crittografato e compresso su disco.
Dumper di dati del browser
È tipico degli operatori OilRig utilizzare dumper dei dati del browser nelle loro attività post-compromesso. Abbiamo scoperto due nuovi ladri di dati del browser tra gli strumenti post-compromissione implementati nella campagna Juicy Mix insieme alla backdoor di Mango. Scaricano i dati del browser rubati nel file % TEMP% directory in file denominati Cupdate
ed Aggiorna
(da qui i nostri nomi: CDumper e EDumper).
Entrambi gli strumenti sono ladri di dati del browser C#/.NET, che raccolgono cookie, cronologia di navigazione e credenziali dai browser Chrome (CDumper) ed Edge (EDumper). Concentriamo la nostra analisi su CDumper, poiché entrambi gli stealer sono praticamente identici, salvo alcune costanti.
Una volta eseguito, CDumper crea un elenco di utenti con Google Chrome installato. Durante l'esecuzione, lo stealer si connette a Chrome SQLite Cookies, Storia
ed Dati di accesso database sotto %APPDATA%Dati utente GoogleChrome localee raccoglie i dati del browser, inclusi gli URL visitati e gli accessi salvati, utilizzando query SQL.
I valori dei cookie vengono quindi decrittografati e tutte le informazioni raccolte vengono aggiunte a un file di registro denominato C:Utenti AppDataLocalTempCupdate, in chiaro. Questa funzionalità è implementata nelle funzioni CDumper denominate CookieGrab
(Vedi RIF _Rif126168131 h figura 12
), StoriaGrab, ed PasswordGrab. Tieni presente che non esiste un meccanismo di esfiltrazione implementato in CDumper, ma Mango può esfiltrare i file selezionati tramite un comando backdoor.
Sia in Outer Space che in precedenza In mare aperto campagna, OilRig ha utilizzato un dumper di dati Chrome C/C++ chiamato MKG. Come CDumper ed EDumper, anche MKG era in grado di rubare nomi utente e password, cronologia di navigazione e cookie dal browser. Questo dumper di dati di Chrome viene generalmente distribuito nei seguenti percorsi di file (la prima posizione è la più comune):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Ladro di Gestione credenziali di Windows
Oltre agli strumenti di dumping dei dati del browser, OilRig ha utilizzato anche un ladro di Windows Credential Manager nella campagna Juicy Mix. Questo strumento ruba le credenziali da Windows Credential Manager e, analogamente a CDumper ed EDumper, le archivia nel file % TEMP% directory – questa volta in un file denominato Aggiorna
(da qui il nome IDumper). A differenza di CDumper ed EDumper, IDumper è implementato come script PowerShell.
Come con gli strumenti dumper del browser, non è raro che OilRig raccolga credenziali da Windows Credential Manager. In precedenza, gli operatori di OilRig venivano osservati utilizzando VALUEVAULT, a disponibile pubblicamente, Strumento per il furto di credenziali compilato da Go (vedere il file Campagna HardPass 2019 e Campagna 2020), per lo stesso scopo.
Conclusione
OilRig continua a innovare e creare nuovi impianti con funzionalità simili a backdoor, trovando al contempo nuovi modi per eseguire comandi su sistemi remoti. Il gruppo ha migliorato la backdoor C#/.NET Solar della campagna Outer Space per creare una nuova backdoor denominata Mango per la campagna Juicy Mix. Il gruppo distribuisce una serie di strumenti post-compromissione personalizzati utilizzati per raccogliere credenziali, cookie e cronologia di navigazione dai principali browser e da Gestione credenziali di Windows. Nonostante queste innovazioni, OilRig continua a fare affidamento su metodi consolidati per ottenere i dati degli utenti.
Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all'indirizzo threatintel@eset.com.
ESET Research offre report di intelligence APT privati e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .
IOCS
File
SHA-1 |
Nome del file |
Nome rilevamento ESET |
Descrizione |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
Il mio CV.doc |
VBA/OilRig.C |
Documento con macro dannose che rilasciano Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Contagocce VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Backdoor solare. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Backdoor di Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Backdoor di Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Dumper di dati Edge. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Dumper di dati di Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper di Gestione credenziali di Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG: dumper di dati di Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG: dumper di dati di Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG: dumper di dati di Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Downloader SC5k (versione a 32 bit). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Downloader SC5k (versione a 64 bit). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
NODE.EXE |
MSIL/OilRig.D |
Downloader SC5k (versione a 64 bit). |
Network NetPoulSafe
IP |
Dominio |
Provider di hosting |
Visto per la prima volta |
Dettagli |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarcheseNet |
2022-07-29 |
N/A |
Tecniche MITRE ATT&CK
Questa tabella è stata creata utilizzando Versione 13 del framework MITRE ATT&CK.
tattica |
ID |
Nome |
Descrizione |
Sviluppo delle risorse |
Infrastruttura di compromesso: server |
Nelle campagne Outer Space e Juicy Mix, OilRig ha compromesso siti Web legittimi per mettere in scena strumenti dannosi e comunicazioni C&C. |
|
Capacità di sviluppo: malware |
OilRig ha sviluppato backdoor personalizzate (Solar e Mango), un downloader (SC5k) e una serie di strumenti per il furto di credenziali da utilizzare nelle sue operazioni. |
||
Funzionalità della fase: caricare malware |
OilRig ha caricato componenti dannosi sui suoi server C&C e ha archiviato file e comandi preinstallati nel file Abbozzo directory di posta elettronica di un account Office 365 per SC5k da scaricare ed eseguire. |
||
Funzionalità dello stage: strumento di caricamento |
OilRig ha caricato strumenti dannosi sui suoi server C&C e archiviato file preinstallati nel file Abbozzo directory di posta elettronica di un account Office 365 per SC5k da scaricare ed eseguire. |
||
Accesso iniziale |
Phishing: allegato spearphishing |
OilRig probabilmente ha distribuito le sue campagne Outer Space e Juicy Mix tramite e-mail di phishing con allegati i contagocce VBS. |
|
|
Attività/Lavoro pianificato: attività pianificata |
Gli strumenti IDumper, EDumper e CDumper di OilRig utilizzano attività pianificate denominate cioè, ed , ed cu per eseguirsi nel contesto di altri utenti. Solar e Mango utilizzano un'attività C#/.NET su un timer per eseguire in modo iterativo le loro funzioni principali. |
|
Interprete di comandi e script: PowerShell |
Lo strumento IDumper di OilRig utilizza PowerShell per l'esecuzione. |
||
Interprete di comandi e script: Shell dei comandi di Windows |
Utilizzo di Solar, SC5k, IDumper, EDumper e CDumper di OilRig cmd.exe per eseguire attività sul sistema. |
||
Interprete di comandi e script: Visual Basic |
OilRig utilizza un VBScript dannoso per fornire e rendere persistenti le sue backdoor Solar e Mango. |
||
API nativa |
La backdoor Mango di OilRig utilizza il file CreateProcess API di Windows per l'esecuzione. |
||
Persistenza |
Attività/Lavoro pianificato: attività pianificata |
Il contagocce VBS di OilRig pianifica un'attività denominata Attività di promemoria per stabilire la persistenza della backdoor Mango. |
|
Evasione della difesa |
Mascheramento: corrisponde al nome o alla posizione legittimi |
OilRig utilizza nomi di file legittimi o innocui per il suo malware per mascherarsi da difensori e software di sicurezza. |
|
File o informazioni offuscati: imballaggio del software |
OilRig ha utilizzato Programmatore di script SAPIEN ed Offuscatore SmartAssembly per offuscare il suo strumento IDumper. |
||
File o informazioni offuscati: payload incorporati |
I dropper VBS di OilRig contengono payload dannosi incorporati al loro interno come una serie di sottostringhe base64. |
||
Masquerade: attività o servizio in maschera |
Per apparire legittimo, il contagocce VBS di Mango pianifica un'attività con la descrizione Avvia il blocco note a una certa ora. |
||
Rimozione dell'indicatore: chiara persistenza |
Gli strumenti post-compromissione di OilRig eliminano le attività pianificate dopo un certo periodo di tempo. |
||
Deoffuscare/decodificare file o informazioni |
OilRig utilizza diversi metodi di offuscamento per proteggere le sue stringhe e i payload incorporati. |
||
Sovvertire i controlli di fiducia |
SC5k utilizza Office 365, generalmente una terza parte affidabile e spesso trascurata dai difensori, come sito di download. |
||
Indebolire le difese |
La backdoor Mango di OilRig ha una capacità (ancora) inutilizzata per impedire alle soluzioni di sicurezza degli endpoint di caricare il codice in modalità utente in processi specifici. |
||
Accesso alle credenziali |
Credenziali da archivi password: Credenziali da browser web |
Gli strumenti personalizzati di OilRig MKG, CDumper e EDumper possono ottenere credenziali, cookie e cronologia di navigazione dai browser Chrome ed Edge. |
|
Credenziali dagli archivi password: Gestione credenziali di Windows |
Lo strumento di dumping delle credenziali personalizzato di OilRig, IDumper, può rubare credenziali da Gestione credenziali di Windows. |
||
Ricerca e Sviluppo |
Scoperta delle informazioni di sistema |
Mango ottiene il nome del computer compromesso. |
|
Scoperta di file e directory |
Mango ha un comando per enumerare il contenuto di una directory specificata. |
||
Scoperta del proprietario/utente del sistema |
Mango ottiene il nome utente della vittima. |
||
Scoperta dell'account: account locale |
Gli strumenti EDumper, CDumper e IDumper di OilRig possono enumerare tutti gli account utente sull'host compromesso. |
||
Rilevamento delle informazioni del browser |
MKG scarica la cronologia e i segnalibri di Chrome. |
||
Comando e controllo |
Protocollo del livello di applicazione: protocolli Web |
Mango utilizza HTTP nelle comunicazioni C&C. |
|
Trasferimento strumento di ingresso |
Mango ha la capacità di scaricare file aggiuntivi dal server C&C per la successiva esecuzione. |
||
Offuscamento dei dati |
Solar e SC5k utilizzano un semplice metodo di crittografia XOR insieme alla compressione gzip per offuscare i dati inattivi e in transito. |
||
Servizio Web: Comunicazione Bidirezionale |
SC5k utilizza Office 365 per scaricare e caricare file su Abbozzo directory in un account di posta elettronica legittimo. |
||
Codifica dati: codifica standard |
Solar, Mango e MKG base64 decodificano i dati prima di inviarli al server C&C. |
||
Canale crittografato: crittografia simmetrica |
Mango utilizza un codice XOR con la chiave Domande e 4g per crittografare i dati nella comunicazione C&C. |
||
Canale crittografato: crittografia asimmetrica |
Mango utilizza TLS per la comunicazione C&C. |
||
exfiltration |
Esfiltrazione sul canale C2 |
Mango, Solar e SC5k utilizzano i loro canali C&C per l'esfiltrazione. |
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- capace
- WRI
- sopra
- Il mio account
- conti
- Action
- attivo
- attivamente
- attività
- attori
- aggiunto
- aggiunta
- aggiuntivo
- Inoltre
- indirizzo
- indirizzi
- Aggiunge
- Dopo shavasana, sedersi in silenzio; saluti;
- dopo
- contro
- Agente
- Mirato
- Tutti
- permesso
- ALMA
- lungo
- a fianco di
- Alfabeto
- anche
- tra
- an
- .
- analizzato
- ed
- Un altro
- in qualsiasi
- api
- API
- apparire
- appare
- applicato
- APT
- arabo
- Emirati Arabi
- Archivio
- SONO
- argomenti
- Italia
- AS
- assemblato
- montaggio
- astronomia
- At
- attacchi
- Automatizzata
- automaticamente
- porta posteriore
- Backdoor
- sfondo
- basato
- basic
- BE
- stato
- prima
- ha iniziato
- dietro
- essendo
- sotto
- oltre a
- fra
- Bloccare
- stile di vita
- segnalibri
- entrambi
- del browser
- browser
- navigazione
- costruito
- affari
- ma
- by
- chiamata
- detto
- Bandi
- Campagna
- Responsabile Campagne
- Materiale
- funzionalità
- capacità
- svolta
- Custodie
- certo
- il cambiamento
- cambiato
- Modifiche
- canale
- canali
- caratteristica
- caratteri
- chimico
- scegliere
- ha scelto
- Chrome
- cifra
- pulire campo
- codice
- raccogliere
- Raccolta
- COM
- combinato
- Uncommon
- comunemente
- comunicare
- Comunicazione
- Comunicazioni
- Società
- componenti
- compromesso
- Compromissione
- computer
- Configurazione
- conferma
- Connettiti
- collega
- contatti
- contenere
- contenuto
- contesto
- continua
- continua
- convertito
- Cookies
- potuto
- creare
- crea
- Creazione
- creazione
- CREDENZIALI
- Credenziali
- Corrente
- costume
- dati
- banche dati
- decrypt
- Difensori
- consegnare
- schierare
- schierato
- distribuzione
- Distribuisce
- derivato
- descritta
- descrizione
- Nonostante
- dettagliati
- rilevato
- rivelazione
- sviluppato
- diverso
- scoperto
- scoperta
- visualizzati
- distribuito
- divide
- documento
- effettua
- scaricare
- download
- bozza
- Cadere
- caduto
- lancio
- Gocce
- cumulo di rifiuti
- ogni
- In precedenza
- est
- orientale
- bordo
- o
- incorporato
- emirati
- occupato
- enable
- crittografato
- crittografia
- endpoint
- sicurezza degli endpoint
- energia
- seducente
- spionaggio
- stabilire
- sviluppate
- evasione
- Ogni
- esempio
- exchange
- esclusivamente
- eseguire
- eseguito
- esegue
- esecuzione
- esecuzione
- esfiltrazione
- estratti
- falso
- Compila il
- File
- Infine
- finanziario
- ricerca
- I risultati
- Nome
- adatto
- flusso
- Focus
- si concentra
- i seguenti
- segue
- Nel
- formato
- essere trovato
- Contesto
- da
- da 2021
- function
- funzionalità
- funzionalità
- funzioni
- ulteriormente
- futuro
- raccolta
- generalmente
- generato
- genera
- globali
- scopo
- Google Chrome
- Enti Pubblici
- I governi
- Gruppo
- Gruppo
- Maniglie
- hash
- Avere
- assistenza sanitaria
- quindi
- qui
- HEX
- nascondere
- storia
- ganci
- host
- Come
- HTML
- http
- HTTPS
- umano
- Risorse umane
- ID
- identico
- identificatore
- if
- Immagine
- implementato
- attrezzi
- migliorata
- in
- includere
- Compreso
- infatti
- info
- informazioni
- Infrastruttura
- inizialmente
- innovare
- innovazioni
- Richieste
- installato
- invece
- istruzioni
- Intelligence
- interno
- ai miglioramenti
- introdotto
- Iran
- Israele
- IT
- SUO
- stessa
- Lavoro
- json
- Luglio
- ad appena
- conservazione
- Le
- conosciuto
- Cognome
- lanciato
- strato
- meno
- Libano
- a sinistra
- legittimo
- piace
- probabile
- linea
- LINK
- Lista
- elencati
- annuncio
- elenchi
- Caricamento in corso
- locale
- località
- posizioni
- ceppo
- Lunghi
- cerca
- macchina
- Macro
- macro
- Principale
- maggiore
- il malware
- direttore
- Marlin
- mascherata
- partita
- MD5
- meccanismo
- Memorie
- menzionato
- messaggio
- messaggi
- Metadati
- metodo
- metodi
- Microsoft
- In mezzo
- Medio Oriente
- MILANO
- millisecondi
- Minuti
- scelta
- Moda
- Inoltre
- maggior parte
- soprattutto
- si muove
- multiplo
- Nome
- Detto
- cioè
- nomi
- di denominazione
- il
- nativo
- rete
- tuttavia
- New
- GENERAZIONE
- nista
- no
- notevole
- segnatamente
- numero
- numeri
- ottenere
- ottiene
- si è verificato
- of
- Offerte
- Office
- di frequente
- on
- ONE
- esclusivamente
- Operazioni
- Operatori
- Opzione
- or
- minimo
- organizzazione
- organizzazioni
- Altro
- nostro
- su
- spazio esterno
- produzione
- ancora
- Override
- panoramica
- pagina
- parametro
- parametri
- partito
- Password
- Le password
- sentiero
- esecuzione
- periodo
- persistenza
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- per favore
- punto
- punti
- Portale
- posizione
- forse
- Post
- PowerShell
- in pratica
- predecessore
- precedente
- in precedenza
- primario
- un bagno
- probabilmente
- processi
- Elaborato
- i processi
- Prodotto
- protegge
- protocollo
- fornire
- pubblicato
- scopo
- query
- casuale
- piuttosto
- Lettura
- ricevuto
- recente
- registro
- relazionato
- fare affidamento
- a distanza
- rimozione
- rimosso
- sostituito
- rapporto
- Report
- richiesta
- riparazioni
- ricercatori
- Risorse
- rispettivamente
- risposta
- responsabile
- REST
- risultante
- Risultati
- ritorno
- recensioni
- impianto
- Correre
- running
- s
- stesso
- Risparmi
- salvato
- risparmio
- sega
- programma
- in programma
- schema
- schemi
- copione
- MARE
- Secondo
- secondo
- Sezione
- Settori
- problemi di
- vedere
- visto
- selezionato
- prodotti
- invio
- invia
- inviato
- Serie
- servire
- server
- Server
- servizio
- Servizi
- set
- alcuni
- Squalo
- Conchiglia
- mostrato
- Spettacoli
- simile
- somiglianze
- Un'espansione
- da
- site
- piccole
- So
- Software
- solare
- Soluzioni
- alcuni
- lo spazio
- specifico
- specificato
- diffondere
- impilamento
- Stage
- messa in scena
- Standard
- inizio
- ruba
- step
- Passi
- rubare
- Fermare
- memorizzati
- negozi
- Corda
- successivo
- Successivamente
- tale
- supporti
- commutata
- simbolo
- sistema
- SISTEMI DI TRATTAMENTO
- tavolo
- preso
- prende
- Target
- mirata
- mira
- obiettivi
- Task
- task
- Consulenza
- Analisi Tecnica
- telecomunicazioni
- di
- che
- Il
- loro
- Li
- si
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- Terza
- questo
- minaccia
- attori della minaccia
- Rapporto sulle minacce
- per tutto
- così
- contrastare
- Cravatte
- tempo
- Titolo
- a
- strumenti
- top
- transito
- trasporto
- Affidati ad
- di fiducia
- seconda
- Digitare
- tipico
- tipicamente
- Raro
- per
- Unito
- Arabo unito
- Emirati Arabi Uniti
- a differenza di
- non usato
- aggiornato
- caricato
- Caricamento
- su
- URL
- us
- uso
- utilizzato
- Utente
- utenti
- usa
- utilizzando
- v1
- APPREZZIAMO
- Valori
- variabile
- varietà
- vario
- versione
- informazioni sulla versione
- versioni
- verticali
- molto
- via
- Vittima
- vittime
- Visita
- visitato
- identificazione dei warning
- Prima
- modi
- we
- sito web
- web server
- servizi web
- Sito web
- siti web
- WELL
- sono stati
- quale
- while
- tutto
- larghezza
- volere
- finestre
- con
- entro
- Word
- flusso di lavoro
- lavoro
- scrittura
- scritto
- sì
- ancora
- zefiro