ESET-onderzoekers hebben twee campagnes van de OilRig APT-groep geanalyseerd: Outer Space (2021) en Juicy Mix (2022). Beide cyberspionagecampagnes waren uitsluitend gericht op Israëlische organisaties, wat in lijn is met de focus van de groep op het Midden-Oosten, en gebruikten hetzelfde draaiboek: OilRig compromitteerde eerst een legitieme website om als C&C-server te gebruiken en gebruikte vervolgens VBS-droppers om een C# te leveren. /.NET-achterdeur voor zijn slachtoffers, terwijl ook een verscheidenheid aan post-compromistools wordt ingezet die meestal worden gebruikt voor gegevensexfiltratie op de doelsystemen.
In hun Outer Space-campagne gebruikte OilRig een eenvoudige, voorheen ongedocumenteerde C#/.NET-achterdeur die we Solar noemden, samen met een nieuwe downloader, SampleCheck5000 (of SC5k), die de Microsoft Office Exchange Web Services API gebruikt voor C&C-communicatie. Voor de Juicy Mix-campagne hebben de bedreigingsactoren Solar verbeterd om de Mango-achterdeur te creëren, die over extra mogelijkheden en verduisteringsmethoden beschikt. Naast het detecteren van de kwaadaardige toolset, hebben we ook het Israëlische CERT op de hoogte gebracht van de besmette websites.
Kernpunten van deze blogpost:
- ESET observeerde twee OilRig-campagnes die plaatsvonden in 2021 (Outer Space) en 2022 (Juicy Mix).
- De operators richtten zich uitsluitend op Israëlische organisaties en compromitterden legitieme Israëlische websites voor gebruik in hun C&C-communicatie.
- Ze gebruikten in elke campagne een nieuwe, voorheen ongedocumenteerde C#/.NET-backdoor in de eerste fase: Solar in Outer Space en vervolgens de opvolger Mango in Juicy Mix.
- Beide achterdeurtjes werden ingezet door VBS-droppers, vermoedelijk verspreid via spearphishing-e-mails.
- In beide campagnes werd een verscheidenheid aan post-compromistools ingezet, met name de SC5k-downloader die de Microsoft Office Exchange Web Services API gebruikt voor C&C-communicatie, en verschillende tools om browsergegevens en inloggegevens van Windows Credential Manager te stelen.
OilRig, ook bekend als APT34, Lyceum of Siamesekitten, is een cyberspionagegroep die minstens sinds 2014 actief is en wordt algemeen aangenomen gevestigd te zijn in Iran. De groep richt zich op regeringen uit het Midden-Oosten en een verscheidenheid aan bedrijfssectoren, waaronder de chemie, energie, financiële sector en telecommunicatie. OilRig voerde de DNSpionage-campagne uit in 2018 en 2019, dat zich richtte op slachtoffers in Libanon en de Verenigde Arabische Emiraten. In 2019 en 2020 zette OilRig de aanvallen voort met de HardPass campagne, waarbij LinkedIn werd gebruikt om slachtoffers uit het Midden-Oosten in de energie- en overheidssectoren te targeten. In 2021 heeft OilRig zijn DanBot achterdeur en begon met het inzetten van de Haai, Milaan, en Marlin-achterdeurtjes, genoemd in de T3 2021 uitgave van het ESET-dreigingsrapport.
In deze blogpost geven we een technische analyse van de Solar- en Mango-backdoors, van de VBS-dropper die wordt gebruikt om Mango te leveren, en van de post-compromistools die in elke campagne worden ingezet.
Attribution
De eerste link waarmee we de Outer Space-campagne aan OilRig konden koppelen, is het gebruik van dezelfde aangepaste Chrome-datadumper (bijgehouden door ESET-onderzoekers onder de naam MKG) als in de Out to Sea-campagne. We zagen dat de Solar-achterdeur precies hetzelfde MKG-monster als in Out to Sea op het systeem van het doelwit zette, samen met twee andere varianten.
Naast de overlap in tools en targeting zagen we ook meerdere overeenkomsten tussen de Solar-achterdeur en de achterdeur die in Out to Sea wordt gebruikt, vooral gerelateerd aan uploaden en downloaden: zowel Solar als Shark, een andere achterdeur van OilRig, gebruiken URI's met eenvoudige upload- en downloadschema's om te communiceren met de C&C-server, met een “d” voor downloaden en een “u” voor uploaden; Bovendien gebruikt de downloader SC5k submappen voor uploads en downloads, net als andere achterdeurtjes van OilRig, namelijk ALMA, Shark, DanBot en Milan. Deze bevindingen dienen als een verdere bevestiging dat de schuldige achter Outer Space inderdaad OilRig is.
Wat betreft de banden van de Juicy Mix-campagne met OilRig: naast het richten op Israëlische organisaties – wat typisch is voor deze spionagegroep – zijn er code-overeenkomsten tussen Mango, de achterdeur die in deze campagne wordt gebruikt, en Solar. Bovendien werden beide backdoors ingezet door VBS-droppers met dezelfde string-verduisteringstechniek. De keuze voor post-compromisinstrumenten die in Juicy Mix worden gebruikt, weerspiegelt ook eerdere OilRig-campagnes.
Outer Space-campagneoverzicht
Outer Space, genoemd naar het gebruik van een op astronomie gebaseerd naamgevingsschema in de functienamen en taken, is een OilRig-campagne uit 2021. In deze campagne heeft de groep een Israëlische HR-site gecompromitteerd en deze vervolgens gebruikt als C&C-server voor zijn eerder ongedocumenteerde C#/.NET-achterdeur, Solar. Solar is een eenvoudige achterdeur met basisfunctionaliteit zoals lezen en schrijven vanaf schijf en het verzamelen van informatie.
Via Solar heeft de groep vervolgens een nieuwe downloader SC5k geïmplementeerd, die de Office Exchange Web Services API gebruikt om extra tools te downloaden voor uitvoering, zoals weergegeven in REF _Ref142655526 u Figuur 1
. Om browsergegevens uit het systeem van het slachtoffer te exfiltreren, gebruikte OilRig een Chrome-gegevensdumper genaamd MKG.
Juicy Mix campagneoverzicht
In 2022 lanceerde OilRig een nieuwe campagne gericht op Israëlische organisaties, dit keer met een bijgewerkte toolset. We hebben de campagne Juicy Mix genoemd vanwege het gebruik van een nieuwe OilRig-achterdeur, Mango (gebaseerd op de interne assemblagenaam en de bestandsnaam, Mango.exe). In deze campagne hebben de dreigingsactoren een legitiem Israëlisch banenportaal gecompromitteerd voor gebruik in C&C-communicatie. De kwaadaardige tools van de groep werden vervolgens ingezet tegen een gezondheidszorgorganisatie, eveneens gevestigd in Israël.
De eerste fase backdoor van Mango is een opvolger van Solar, ook geschreven in C#/.NET, met opmerkelijke veranderingen zoals exfiltratiemogelijkheden, het gebruik van native API's en toegevoegde detectie-ontduikingscode.
Samen met Mango hebben we ook twee voorheen ongedocumenteerde browsergegevensdumpers ontdekt die worden gebruikt om cookies, browsegeschiedenis en inloggegevens van de Chrome- en Edge-browsers te stelen, en een Windows Credential Manager-dumper, die we allemaal toeschrijven aan OilRig. Deze instrumenten werden allemaal gebruikt tegen hetzelfde doelwit als Mango, maar ook tegen andere gecompromitteerde Israëlische organisaties in 2021 en 2022. REF _Ref125475515 u Figuur 2
toont een overzicht van hoe de verschillende componenten zijn gebruikt in de Juicy Mix-campagne.
Technische analyse
In deze sectie bieden we een technische analyse van de Solar- en Mango-backdoors en de SC5k-downloader, evenals andere tools die in deze campagnes op de beoogde systemen zijn ingezet.
VBS-druppelaars
Om voet aan de grond te krijgen op het systeem van het doelwit, werden in beide campagnes Visual Basic Script (VBS)-droppers gebruikt, die zeer waarschijnlijk werden verspreid via spearphishing-e-mails. Onze onderstaande analyse richt zich op het VBS-script dat wordt gebruikt om Mango (SHA-1) te verwijderen: 3699B67BF4E381847BF98528F8CE2B966231F01A); merk op dat de druppelaar van Solar erg op elkaar lijkt.
Het doel van de dropper is om de ingebedde Mango-achterdeur af te leveren, een taak voor persistentie te plannen en het compromis te registreren bij de C&C-server. De ingebedde achterdeur wordt opgeslagen als een reeks base64-substrings, die worden samengevoegd en met base64 worden gedecodeerd. Zoals getoond in REF _Ref125477632 u Figuur 3
, maakt het script ook gebruik van een eenvoudige tekenreeksdeobfuscatietechniek, waarbij tekenreeksen worden samengesteld met behulp van rekenkundige bewerkingen en de chr functie.
Bovendien voegt de VBS-dropper van Mango een ander type tekenreeksverduistering en code toe om persistentie in te stellen en te registreren bij de C&C-server. Zoals getoond in REF _Ref125479004 u * SAMENVOEGFORMAAT Figuur 4
Om sommige tekenreeksen duidelijker te maken, vervangt het script alle tekens in de set #*+-_)(}{@$%^& Met 0, verdeelt de tekenreeks vervolgens in getallen van drie cijfers die vervolgens worden omgezet in ASCII-tekens met behulp van de chr
functie. Bijvoorbeeld de string 116110101109117+99111$68+77{79$68}46-50108109120115}77 vertaald naar Msxml2.DOMDocument.
Zodra de achterdeur in het systeem is ingebed, gaat de druppelaar verder met het maken van een geplande taak die Mango (of Solar, in de andere versie) elke 14 minuten uitvoert. Ten slotte verzendt het script een base64-gecodeerde naam van de aangetaste computer via een POST-verzoek om de achterdeur te registreren bij de C&C-server.
Achterdeur op zonne-energie
Zonne-energie is de achterdeur die wordt gebruikt in de Outer Space-campagne van OilRig. Deze achterdeur beschikt over basisfunctionaliteiten en kan onder andere worden gebruikt om bestanden te downloaden en uit te voeren, en om automatisch geënsceneerde bestanden te exfiltreren.
We hebben de naam Solar gekozen op basis van de bestandsnaam die OilRig gebruikt, Solar.exe. Het is een passende naam omdat de achterdeur een astronomisch naamgevingsschema gebruikt voor de functienamen en taken die in het binaire bestand worden gebruikt (kwik, Venus, maart, De aarde en Jupiter).
Solar begint met de uitvoering door de stappen uit te voeren die worden weergegeven in REF _Ref98146919 u * SAMENVOEGFORMAAT Figuur 5
.
De achterdeur creëert twee taken, De aarde
en Venus, die in het geheugen worden uitgevoerd. Er is geen stopfunctie voor beide taken, dus ze zullen voor onbepaalde tijd worden uitgevoerd. De aarde
is gepland om elke 30 seconden te worden uitgevoerd en Venus
is ingesteld om elke 40 seconden te worden uitgevoerd.
De aarde is de primaire taak, verantwoordelijk voor het grootste deel van de functies van Solar. Het communiceert met de C&C-server via deze functie MercuriusNaarZon, dat basisinformatie over het systeem en de malwareversie naar de C&C-server verzendt en vervolgens de reactie van de server afhandelt. De aarde stuurt de volgende informatie naar de C&C-server:
- De snaar (@); de hele reeks is gecodeerd.
- De snaar 1.0.0.0, gecodeerd (mogelijk een versienummer).
- De snaar 30000, gecodeerd (mogelijk de geplande runtime van De aarde
Codering en decodering worden geïmplementeerd in de genoemde functies JupiterE
en JupiterDrespectievelijk. Beiden roepen een functie aan met de naam JupiterX, die een XOR-lus implementeert zoals weergegeven in REF _Ref98146962 u Figuur 6
.
De sleutel is afgeleid van een hardgecodeerde globale stringvariabele, 6sEj7*0B7#7En een nuntius: in dit geval een willekeurige hexadecimale tekenreeks van 2 tot 24 tekens lang. Na de XOR-codering wordt standaard base64-codering toegepast.
De webserver van een Israëlisch HR-bedrijf, die OilRig op een gegeven moment had gecompromitteerd voordat Solar werd ingezet, werd gebruikt als de C&C-server:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Voordat de coderingsnonce aan de URI wordt toegevoegd, wordt deze gecodeerd en wordt de waarde van de initiële queryreeks rt, ingesteld op d hier, waarschijnlijk voor “downloaden”.
De laatste stap van het MercuriusNaarZon
functie is het verwerken van een antwoord van de C&C-server. Dit gebeurt door een subreeks van het antwoord op te halen, die tussen de karakters wordt gevonden QQ@ en @kk. Dit antwoord bestaat uit een reeks instructies, gescheiden door sterretjes (*) dat wordt verwerkt tot een array. De aarde
voert vervolgens de achterdeuropdrachten uit, waaronder het downloaden van extra payloads van de server, het weergeven van bestanden op het systeem van het slachtoffer en het uitvoeren van specifieke uitvoerbare bestanden.
De opdrachtuitvoer wordt vervolgens met gzip gecomprimeerd met behulp van de functie Neptunus
en gecodeerd met dezelfde coderingssleutel en een nieuwe nonce. Vervolgens worden de resultaten geüpload naar de C&C-server, aldus:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid en de nieuwe nonce zijn gecodeerd met de JupiterE
functie, en hier de waarde van rt is ingesteld op u, waarschijnlijk voor 'uploaden'.
Venus, de andere geplande taak, wordt gebruikt voor geautomatiseerde gegevensexfiltratie. Deze kleine taak kopieert de inhoud van bestanden uit een map (ook wel Venus) naar de C&C-server. Deze bestanden zijn hier waarschijnlijk neergezet door een andere, nog niet geïdentificeerde, OilRig-tool. Na het uploaden van een bestand verwijdert de taak het van de schijf.
Mango-achterdeur
Voor de Juicy Mix-campagne schakelde OilRig over van de Solar-achterdeur naar Mango. Het heeft een vergelijkbare workflow als Solar en overlappende mogelijkheden, maar er zijn niettemin een aantal opmerkelijke veranderingen:
- Gebruik van TLS voor C&C-communicatie.
- Gebruik van native API's in plaats van .NET API's om bestanden en shell-opdrachten uit te voeren.
- Hoewel niet actief gebruikt, werd detectie-ontduikingscode geïntroduceerd.
- Ondersteuning voor geautomatiseerde exfiltratie (Venus
- Ondersteuning voor de logmodus is verwijderd en symboolnamen zijn onduidelijk gemaakt.
In tegenstelling tot Solar's naamgevingsschema met astronomiethema, verhult Mango de symboolnamen, zoals te zien is in REF _Ref142592880 u Figuur 7
.
Naast de verduistering van de symboolnaam gebruikt Mango ook de tekenreeksstapelmethode (zoals weergegeven in REF _Ref142592892 u Figuur 8
REF _Ref141802299 u
) om tekenreeksen te verdoezelen, wat het gebruik van eenvoudige detectiemethoden bemoeilijkt.
Net als bij Solar begint de Mango-achterdeur met het maken van een taak in het geheugen, die voor onbepaalde tijd elke 32 seconden wordt uitgevoerd. Deze taak communiceert met de C&C-server en voert backdoor-opdrachten uit, vergelijkbaar met die van Solar De aarde
taak. Terwijl Solar ook creëert Venus, een taak voor geautomatiseerde exfiltratie, is deze functionaliteit in Mango vervangen door een nieuw achterdeurcommando.
In de hoofdtaak genereert Mango eerst een slachtofferidentificatie, , voor gebruik in C&C-communicatie. De ID wordt berekend als een MD5-hash van , geformatteerd als een hexadecimale tekenreeks.
Om een achterdeurcommando aan te vragen, verzendt Mango vervolgens de string D@ @ | naar de C&C-server http://www.darush.co[.]il/ads.asp – een legitiem Israëlisch banenportaal, waarschijnlijk vóór deze campagne gecompromitteerd door OilRig. We hebben de Israëlische nationale CERT-organisatie op de hoogte gebracht van het compromis.
De verzoektekst is als volgt opgebouwd:
- De te verzenden gegevens zijn XOR-gecodeerd met behulp van de coderingssleutel Vraag en 4g, vervolgens base64-gecodeerd.
- Op basis van dit alfabet (zoals het in de code verschijnt) wordt een pseudowillekeurige reeks van 3–14 tekens gegenereerd: i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- De gecodeerde gegevens worden op een pseudowillekeurige positie in de gegenereerde string ingevoegd, tussenin [@ en @] scheidingstekens.
Om met de C&C-server te communiceren, gebruikt Mango het TLS-protocol (Transport Layer Security), dat wordt gebruikt om een extra coderingslaag te bieden..
Op dezelfde manier is het backdoor-commando dat wordt ontvangen van de C&C-server XOR-gecodeerd, base64-gecodeerd en vervolgens ingesloten tussen [@ en @] binnen de HTTP-antwoordtekst. Het commando zelf is ofwel NCNT
(in welk geval er geen actie wordt ondernomen), of een reeks van verschillende parameters, gescheiden door
@, zoals gedetailleerd in REF _Ref125491491 u tafel 1
, waarin de achterdeuropdrachten van Mango worden vermeld. Let daar op staat niet in de tabel, maar wordt gebruikt in het antwoord op de C&C-server.
Tabel 1. Lijst met achterdeuropdrachten van Mango
arg1 |
arg2 |
arg3 |
Maatregelen die zijn genomen |
Winstwaarde |
|
1 of lege tekenreeks |
+sp |
NB |
Voert de opgegeven file/shell-opdracht uit (met de optionele argumenten), met behulp van het native AanmakenProces API geïmporteerd via DllImporteren. Als de argumenten bevatten [S], het wordt vervangen door C: WindowsSystem32. |
Opdracht uitvoer. |
|
+nu |
NB |
Retourneert de tekenreeks van de malwareversie en de C&C-URL. |
|; in dit geval: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
NB |
Inventariseert de inhoud van de opgegeven map (of de huidige werkmap). |
Directory van Voor elke submap:
Voor elk bestand: BESTAND Directeur(en) Bestand(en) |
||
+dn |
NB |
Uploadt de bestandsinhoud naar de C&C-server via een nieuw HTTP POST-verzoek, geformatteerd: jij@ @ | @ @2@. |
Een van de: · bestand[ ] wordt geüpload naar de server. · bestand niet gevonden! · bestandspad leeg! |
||
2 |
Base64-gecodeerde gegevens |
Bestandsnaam |
Dumpt de opgegeven gegevens naar een bestand in de werkmap. |
bestand gedownload naar pad[ ] |
Elke backdoor-opdracht wordt afgehandeld in een nieuwe thread, en hun retourwaarden worden vervolgens base64-gecodeerd en gecombineerd met andere metadata. Ten slotte wordt die string naar de C&C-server verzonden met hetzelfde protocol en dezelfde versleutelingsmethode als hierboven beschreven.
Ongebruikte detectie-ontwijkingstechniek
Interessant genoeg vonden we een ongebruikt exemplaar detectie-ontwijkingstechniek binnen Mango. De functie die verantwoordelijk is voor het uitvoeren van bestanden en opdrachten die zijn gedownload van de C&C-server gebruikt een optionele tweede parameter: een proces-ID. Indien ingesteld, gebruikt Mango vervolgens de UpdateProcThreadAttribute
API om de PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) attribuut voor het opgegeven proces naar waarde: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), zoals getoond in REF _Ref125480118 u Figuur 9
.
Het doel van deze techniek is om te voorkomen dat eindpuntbeveiligingsoplossingen tijdens dit proces hun gebruikersmoduscodehooks via een DLL laden. Hoewel de parameter niet werd gebruikt in het monster dat we hebben geanalyseerd, kan deze in toekomstige versies worden geactiveerd.
versie 1.1.1
Los van de Juicy Mix-campagne vonden we in juli 2023 een nieuwe versie van de Mango-achterdeur (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), door verschillende gebruikers onder de naam naar VirusTotal geüpload Menora.exe. De interne versie in dit voorbeeld is gewijzigd van 1.0.0 in 1.1.1, maar de enige opmerkelijke verandering is het gebruik van een andere C&C-server, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Samen met deze versie ontdekten we ook een Microsoft Word-document (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) met een kwaadaardige macro die de achterdeur laat vallen. REF _Ref143162004 u Figuur 10
toont het valse waarschuwingsbericht, waarin de gebruiker wordt verleid macro's voor het document in te schakelen, en de lokinhoud die daarna wordt weergegeven, terwijl de kwaadaardige code op de achtergrond wordt uitgevoerd.
Figuur 10. Microsoft Word-document met een kwaadaardige macro die Mango v1.1.1 verwijdert
Hulpmiddelen voor na een compromis
In deze sectie bespreken we een selectie van post-compromis-tools die worden gebruikt in de Outer Space- en Juicy Mix-campagnes van OilRig, gericht op het downloaden en uitvoeren van extra payloads, en het stelen van gegevens van de gecompromitteerde systemen.
SampleCheck5000 (SC5k)-downloader
SampleCheck5000 (of SC5k) is een downloader die wordt gebruikt om aanvullende OilRig-tools te downloaden en uit te voeren, met name vanwege het gebruik van de Microsoft Office Exchange Web Services API voor C&C-communicatie: de aanvallers creëren conceptberichten in dit e-mailaccount en verbergen daarin de achterdeuropdrachten. Vervolgens logt de downloader in op hetzelfde account en parseert de concepten om opdrachten en payloads op te halen om uit te voeren.
SC5k gebruikt vooraf gedefinieerde waarden – Microsoft Exchange-URL, e-mailadres en wachtwoord – om in te loggen op de externe Exchange-server, maar ondersteunt ook de optie om deze waarden te overschrijven met behulp van een configuratiebestand in de huidige werkmap met de naam instelling.sleutel. We kozen de naam SampleCheck5000 op basis van een van de e-mailadressen die de tool gebruikte in de Outer Space-campagne.
Zodra SC5k zich aanmeldt bij de externe Exchange-server, haalt het alle e-mails op in de Concepten
directory, sorteert ze op meest recente en bewaart alleen de concepten met bijlagen. Vervolgens wordt elk conceptbericht met een bijlage doorlopen, op zoek naar JSON-bijlagen die "gegevens" in het lichaam. Het haalt de waarde uit de sleutel gegevens in het JSON-bestand decodeert en decodeert base64 de waarde en roept deze aan cmd.exe om de resulterende opdrachtregelreeks uit te voeren. SC5k slaat vervolgens de uitvoer van het cmd.exe
uitvoering naar een lokale variabele.
Als volgende stap in de lus rapporteert de downloader de resultaten aan de OilRig-operators door een nieuw e-mailbericht op de Exchange-server te maken en dit als concept op te slaan (niet te verzenden), zoals weergegeven in REF_Ref98147102
h * SAMENVOEGFORMAAT Figuur 11
. Een soortgelijke techniek wordt gebruikt om bestanden uit een lokale stagingmap te exfiltreren. Als laatste stap in de lus registreert SC5k ook de opdrachtuitvoer in een gecodeerd en gecomprimeerd formaat op schijf.
Browsergegevensdumpers
Het is kenmerkend voor Oil Rig-operators om browserdatadumpers te gebruiken bij hun post-compromisactiviteiten. We hebben twee nieuwe browsergegevensstelers ontdekt onder de post-compromistools die in de Juicy Mix-campagne naast de Mango-achterdeur zijn ingezet. Ze dumpen de gestolen browsergegevens in de % TEMP% directory naar bestanden met de naam Cupdate
en E-update
(vandaar onze namen voor hen: CDumper en EDumper).
Beide tools zijn C#/.NET browsergegevensstelers, die cookies, browsegeschiedenis en inloggegevens van de Chrome (CDumper) en Edge (EDumper) browsers verzamelen. We concentreren onze analyse op CDumper, omdat beide stelers vrijwel identiek zijn, afgezien van enkele constanten.
Wanneer uitgevoerd, maakt CDumper een lijst met gebruikers waarop Google Chrome is geïnstalleerd. Bij uitvoering maakt de dief verbinding met de Chrome SQLite Cookies, Geschiedenis
en Inloggegevens databases onder %APPDATA%LokaleGoogleChromeGebruikersgegevens, en verzamelt browsergegevens, inclusief bezochte URL's en opgeslagen logins, met behulp van SQL-query's.
De cookiewaarden worden vervolgens gedecodeerd en alle verzamelde informatie wordt toegevoegd aan een logbestand met de naam C: Gebruikers AppDataLocalTempCupdate, in leesbare tekst. Deze functionaliteit is geïmplementeerd in CDumper-functies genaamd CookieGrab
(Zie REF _Ref126168131 u Figuur 12
), GeschiedenisGrab, en WachtwoordGrab. Merk op dat er geen exfiltratiemechanisme is geïmplementeerd in CDumper, maar Mango kan geselecteerde bestanden exfiltreren via een achterdeuropdracht.
Zowel in de ruimte als vroeger Op zee -campagne gebruikte OilRig een C/C++ Chrome-datadumper genaamd MKG. Net als CDumper en EDumper kon MKG ook gebruikersnamen en wachtwoorden, browsegeschiedenis en cookies uit de browser stelen. Deze Chrome-gegevensdumper wordt doorgaans op de volgende bestandslocaties geïmplementeerd (waarbij de eerste locatie de meest voorkomende is):
- %GEBRUIKERS%openbareprogramma'svmwaredir mkc.exe
- %GEBRUIKERS%PublicM64.exe
Windows Credential Manager-steler
Naast tools voor het dumpen van browsergegevens, gebruikte OilRig ook een Windows Credential Manager-stealer in de Juicy Mix-campagne. Deze tool steelt inloggegevens van Windows Credential Manager en slaat ze, net als CDumper en EDumper, op in de % TEMP% directory – dit keer in een bestand met de naam Ikbijwerken
(vandaar de naam IDumper). In tegenstelling tot CDumper en EDumper wordt IDumper geïmplementeerd als een PowerShell-script.
Net als bij de browserdumpertools is het niet ongebruikelijk dat OilRig inloggegevens verzamelt van Windows Credential Manager. Voorheen werden de operators van OilRig geobserveerd met behulp van VALUEVAULT, a publiekelijk verkrijgbaar, Go-gecompileerde tool voor inloggegevens (zie de HardPass-campagne 2019 en 2020-campagne), met hetzelfde doel.
Conclusie
OilRig blijft innoveren en nieuwe implantaten creëren met achterdeurachtige mogelijkheden, terwijl hij nieuwe manieren vindt om opdrachten uit te voeren op externe systemen. De groep verbeterde zijn C#/.NET Solar-achterdeur uit de Outer Space-campagne om een nieuwe achterdeur te creëren genaamd Mango voor de Juicy Mix-campagne. De groep implementeert een reeks aangepaste post-compromistools die worden gebruikt om inloggegevens, cookies en browsegeschiedenis van grote browsers en van Windows Credential Manager te verzamelen. Ondanks deze innovaties blijft OilRig ook vertrouwen op gevestigde manieren om gebruikersgegevens te verkrijgen.
Neem voor vragen over ons onderzoek gepubliceerd op WeLiveSecurity contact met ons op via: bedreigingintel@eset.com.
ESET Research biedt privé APT-inlichtingenrapporten en datafeeds. Voor vragen over deze service kunt u terecht op de ESET-bedreigingsinformatie pagina.
IoC's
Bestanden
SHA-1 |
Bestandsnaam |
ESET-detectienaam |
Omschrijving |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MijnCV.doc |
VBA/Olieplatform.C |
Document met kwaadaardige macro die Mango laat vallen. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS-druppelaar. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/Olieplatform.E |
Achterdeur op zonne-energie. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/Olieplatform.E |
Mango-achterdeur (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menora.exe |
MSIL/Olieplatform.E |
Mango-achterdeur (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Edge-datadumper. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Chrome-gegevensdumper. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Windows Credential Manager-dumper. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome-gegevensdumper. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome-gegevensdumper. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome-gegevensdumper. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/Olieplatform.A |
SC5k-downloader (32-bits versie). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k-downloader (64-bits versie). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
knooppunt.exe |
MSIL/OilRig.D |
SC5k-downloader (64-bits versie). |
Netwerk
IP |
Domein |
Hostingprovider |
Eerst gezien |
Details |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarkiesNet |
2022-07-29 |
NB |
MITRE ATT&CK-technieken
Deze tafel is gemaakt met behulp van versie 13 van het MITRE ATT&CK-raamwerk.
Tactiek |
ID |
Naam |
Omschrijving |
Ontwikkeling van hulpbronnen |
Compromis Infrastructuur: Server |
In zowel Outer Space- als Juicy Mix-campagnes heeft OilRig legitieme websites gecompromitteerd om kwaadaardige tools te gebruiken en voor C&C-communicatie. |
|
Ontwikkelmogelijkheden: Malware |
OilRig heeft op maat gemaakte achterdeuren (Solar en Mango), een downloader (SC5k) en een reeks tools voor diefstal van inloggegevens ontwikkeld voor gebruik bij haar activiteiten. |
||
Stagemogelijkheden: Malware uploaden |
OilRig heeft kwaadaardige componenten naar zijn C&C-servers geüpload en vooraf voorbereide bestanden en opdrachten opgeslagen in de Concepten e-mailmap van een Office 365-account zodat SC5k kan downloaden en uitvoeren. |
||
Podiummogelijkheden: uploadtool |
OilRig heeft kwaadaardige tools naar zijn C&C-servers geüpload en vooraf voorbereide bestanden opgeslagen in de Concepten e-mailmap van een Office 365-account zodat SC5k kan downloaden en uitvoeren. |
||
Eerste toegang |
Phishing: Spearphishing-bijlage |
OilRig heeft zijn Outer Space- en Juicy Mix-campagnes waarschijnlijk verspreid via phishing-e-mails met hun VBS-droppers eraan toegevoegd. |
|
Uitvoering |
Geplande taak/taak: geplande taak |
De IDumper-, EDumper- en CDumper-tools van OilRig gebruiken geplande taken met de naam d.w.z, red , en ku om zichzelf uit te voeren onder de context van andere gebruikers. Solar en Mango gebruiken een C#/.NET-taak op een timer om hun hoofdfuncties iteratief uit te voeren. |
|
Opdracht- en scriptinterpreter: PowerShell |
De IDumper-tool van OilRig maakt gebruik van PowerShell voor uitvoering. |
||
Opdracht- en scriptinterpreter: Windows Command Shell |
OilRig's Solar, SC5k, IDumper, EDumper en CDumper gebruiken cmd.exe om taken op het systeem uit te voeren. |
||
Opdracht- en scriptinterpreter: Visual Basic |
OilRig gebruikt een kwaadaardig VBScript om zijn Solar- en Mango-backdoors te leveren en te behouden. |
||
Native API |
De Mango-achterdeur van OilRig maakt gebruik van de AanmakenProces Windows-API voor uitvoering. |
||
Volharding |
Geplande taak/taak: geplande taak |
De VBS-druppelaar van OilRig plant een taak met de naam HerinneringTaak om doorzettingsvermogen voor de Mango-achterdeur tot stand te brengen. |
|
verdediging ontduiking |
Maskerade: match legitieme naam of locatie |
OilRig gebruikt legitieme of onschadelijke bestandsnamen voor zijn malware om zichzelf te verbergen voor verdedigers en beveiligingssoftware. |
|
Verduisterde bestanden of informatie: softwareverpakking |
OilRig heeft gebruikt SAPIEN Script Packager en SmartAssembly-verduisteraar om zijn IDumper-tool te verdoezelen. |
||
Obfuscated bestanden of informatie: ingesloten payloads |
De VBS-droppers van OilRig hebben kwaadaardige ladingen ingebed in de vorm van een reeks base64-substrings. |
||
Maskerade: Masquerade Taak of Dienst |
Om legitiem te lijken, plant Mango's VBS-dropper een taak met de beschrijving Start Kladblok op een bepaald tijdstip. |
||
Indicatorverwijdering: duidelijke persistentie |
De post-compromistools van OilRig verwijderen hun geplande taken na een bepaalde tijdsperiode. |
||
Deobfuscate/decodeer bestanden of informatie |
OilRig gebruikt verschillende verduisteringsmethoden om de snaren en ingebedde ladingen te beschermen. |
||
Vertrouwenscontroles ondermijnen |
SC5k gebruikt Office 365, over het algemeen een vertrouwde derde partij en vaak over het hoofd gezien door verdedigers, als downloadsite. |
||
Aantasting van verdedigingen |
De Mango-achterdeur van OilRig heeft een (tot nu toe) ongebruikte mogelijkheid om te voorkomen dat eindpuntbeveiligingsoplossingen hun gebruikersmoduscode in specifieke processen laden. |
||
Toegang tot inloggegevens |
Inloggegevens uit wachtwoordopslag: inloggegevens uit webbrowsers |
De aangepaste tools MKG, CDumper en EDumper van OilRig kunnen inloggegevens, cookies en browsegeschiedenis verkrijgen van Chrome- en Edge-browsers. |
|
Referenties uit wachtwoordarchieven: Windows Credential Manager |
De aangepaste tool IDumper voor het dumpen van inloggegevens van OilRig kan inloggegevens stelen van Windows Credential Manager. |
||
De reis van mijn leven |
Ontdekking van systeeminformatie |
Mango verkrijgt de gecompromitteerde computernaam. |
|
Bestands- en directorydetectie |
Mango heeft een opdracht om de inhoud van een opgegeven map op te sommen. |
||
Systeemeigenaar/gebruiker detectie |
Mango verkrijgt de gebruikersnaam van het slachtoffer. |
||
Accountdetectie: lokaal account |
De EDumper-, CDumper- en IDumper-tools van OilRig kunnen alle gebruikersaccounts op de getroffen host opsommen. |
||
Ontdekking van browserinformatie |
MKG dumpt Chrome-geschiedenis en bladwijzers. |
||
Command and Control |
Applicatielaagprotocol: webprotocollen |
Mango gebruikt HTTP in C&C-communicatie. |
|
Ingress-tooloverdracht |
Mango heeft de mogelijkheid om extra bestanden van de C&C-server te downloaden voor latere uitvoering. |
||
Gegevensverduistering |
Solar en SC5k gebruiken een eenvoudige XOR-encryptiemethode samen met gzip-compressie om gegevens in rust en onderweg te verdoezelen. |
||
Webservice: bidirectionele communicatie |
SC5k gebruikt Office 365 voor het downloaden van bestanden van en het uploaden van bestanden naar de Concepten map in een legitiem e-mailaccount. |
||
Gegevenscodering: standaardcodering |
Solar, Mango en MKG base64 decodeert gegevens voordat deze naar de C&C-server worden verzonden. |
||
Versleuteld kanaal: symmetrische cryptografie |
Mango gebruikt een XOR-cijfer met de sleutel Vraag en 4g om gegevens in C&C-communicatie te coderen. |
||
Versleuteld kanaal: asymmetrische cryptografie |
Mango gebruikt TLS voor C&C-communicatie. |
||
exfiltratie |
Exfiltratie via C2-kanaal |
Mango, Solar en SC5k gebruiken hun C&C-kanalen voor exfiltratie. |
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- in staat
- Over
- boven
- Account
- accounts
- Actie
- actieve
- actief
- activiteiten
- actoren
- toegevoegd
- toevoeging
- Extra
- Daarnaast
- adres
- adressen
- Voegt
- Na
- daarna
- tegen
- Agent
- Gericht
- Alles
- toegestaan
- ALMA
- langs
- naast
- Alfabet
- ook
- onder
- an
- analyse
- geanalyseerd
- en
- Nog een
- elke
- api
- APIs
- verschijnen
- komt naar voren
- toegepast
- APT
- Arabisch
- Arabische Emiraten
- Archief
- ZIJN
- argumenten
- reeks
- AS
- gemonteerd
- bijeenkomst
- astronomie
- At
- Aanvallen
- geautomatiseerde
- webmaster.
- achterdeur
- Backdoors
- achtergrond
- gebaseerde
- basis-
- BE
- geweest
- vaardigheden
- begon
- achter
- wezen
- onder
- behalve
- tussen
- Blok
- lichaam
- bladwijzers
- zowel
- browser
- browsers
- Bladeren
- bebouwd
- bedrijfsdeskundigen
- maar
- by
- Bellen
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- oproepen
- Campagne
- Campagnes
- CAN
- mogelijkheden
- bekwaamheid
- gedragen
- geval
- zeker
- verandering
- veranderd
- Wijzigingen
- Kanaal
- kanalen
- karakteristiek
- tekens
- chemisch
- keuze
- koos
- Chrome
- cijfer
- duidelijk
- code
- verzamelen
- Het verzamelen van
- COM
- gecombineerde
- Gemeen
- algemeen
- communiceren
- Communicatie
- Communicatie
- Bedrijf
- componenten
- compromis
- Aangetast
- computer
- Configuratie
- bevestiging
- Verbinden
- verbindt
- contact
- bevatten
- content
- verband
- voortgezet
- blijft
- geconverteerd
- cookies
- kon
- en je merk te creëren
- creëert
- Wij creëren
- het aanmaken
- IDENTIFICATIE
- Geloofsbrieven
- Actueel
- gewoonte
- gegevens
- databanken
- decoderen
- verdedigers
- leveren
- implementeren
- ingezet
- het inzetten
- ontplooit
- Afgeleid
- beschreven
- beschrijving
- Niettegenstaande
- gedetailleerd
- gedetecteerd
- Opsporing
- ontwikkelde
- anders
- ontdekt
- ontdekking
- weergegeven
- verdeeld
- verdeelt
- document
- doet
- Download
- downloads
- draft
- Val
- liet vallen
- dropping
- Drops
- storten
- elk
- Vroeger
- oosten
- oostelijk
- rand
- beide
- e-mails
- ingebed
- emiraten
- loondienst
- in staat stellen
- versleutelde
- encryptie
- Endpoint
- Endpoint security
- energie-niveau
- verleidelijk
- spionage
- oprichten
- gevestigd
- ontduiking
- Alle
- voorbeeld
- uitwisseling
- uitsluitend
- uitvoeren
- uitgevoerd
- Voert uit
- uitvoeren
- uitvoering
- exfiltratie
- extracten
- nep
- Dien in
- Bestanden
- Tot slot
- financieel
- het vinden van
- bevindingen
- Voornaam*
- fitting
- stroom
- Focus
- richt
- volgend
- volgt
- Voor
- formaat
- gevonden
- Achtergrond
- oppompen van
- vanaf 2021
- functie
- functionaliteiten
- functionaliteit
- functies
- verder
- toekomst
- verzameling
- algemeen
- gegenereerde
- genereert
- Globaal
- doel
- Kopen Google Reviews
- Google Chrome
- Overheid
- overheden
- Groep
- Groep
- Handvaten
- hachee
- Hebben
- gezondheidszorg
- Vandaar
- hier
- HEX
- Verbergen
- geschiedenis
- haken
- gastheer
- Hoe
- HTML
- http
- HTTPS
- menselijk
- Personeelszaken
- ID
- identiek
- identificatie
- if
- beeld
- geïmplementeerd
- gereedschap
- verbeterd
- in
- omvatten
- Inclusief
- inderdaad
- info
- informatie
- Infrastructuur
- eerste
- innoveren
- innovaties
- vragen
- geïnstalleerd
- verkrijgen in plaats daarvan
- instructies
- Intelligentie
- intern
- in
- geïntroduceerd
- Iran
- Israël
- IT
- HAAR
- zelf
- Jobomschrijving:
- json
- juli-
- voor slechts
- houden
- sleutel
- bekend
- Achternaam*
- gelanceerd
- lagen
- minst
- Libanon
- links
- rechtmatig
- als
- Waarschijnlijk
- Lijn
- LINK
- Lijst
- opgesomd
- vermelding
- lijsten
- het laden
- lokaal
- plaats
- locaties
- inloggen
- lang
- op zoek
- machine
- Macro
- macro's
- Hoofd
- groot
- malware
- manager
- Marlin
- maskerade
- Match
- MD5
- mechanisme
- Geheugen
- vermeld
- Bericht
- berichten
- Metadata
- methode
- methoden
- Microsoft
- Midden
- Midden-Oosten
- MILAAN
- milliseconden
- minuten
- mengen
- Mode
- Bovendien
- meest
- meestal
- beweegt
- meervoudig
- naam
- Genoemd
- namelijk
- namen
- naamgeving
- nationaal
- inheemse
- netto
- niettemin
- New
- volgende
- NIST
- geen
- opvallend
- in het bijzonder
- aantal
- nummers
- verkrijgen
- verkrijgt
- opgetreden
- of
- Aanbod
- Kantoor
- vaak
- on
- EEN
- Slechts
- Operations
- exploitanten
- Keuze
- or
- bestellen
- organisatie
- organisaties
- Overige
- onze
- uit
- de kosmische ruimte
- uitgang
- over
- override
- overzicht
- pagina
- parameter
- parameters
- feest
- Wachtwoord
- wachtwoorden
- pad
- uitvoerend
- periode
- volharding
- Phishing
- Plato
- Plato gegevensintelligentie
- PlatoData
- dan
- punt
- punten
- Portaal
- positie
- mogelijk
- Post
- PowerShell
- bijna
- voorganger
- vorig
- die eerder
- primair
- privaat
- waarschijnlijk
- Verwerkt
- processen
- Product
- beschermen
- protocol
- zorgen voor
- gepubliceerde
- doel
- queries
- willekeurige
- liever
- lezing
- ontvangen
- recent
- registreren
- verwant
- vertrouwen
- vanop
- verwijdering
- verwijderd
- vervangen
- verslag
- Rapporten
- te vragen
- onderzoek
- onderzoekers
- Resources
- respectievelijk
- antwoord
- verantwoordelijk
- REST
- verkregen
- Resultaten
- terugkeer
- beoordelen
- tuig
- lopen
- lopend
- s
- dezelfde
- Bespaar
- gered
- besparing
- zagen
- rooster
- gepland
- schema
- regelingen
- script
- SEA
- Tweede
- seconden
- sectie
- Sectoren
- veiligheid
- zien
- gezien
- gekozen
- selectie
- verzending
- verzendt
- verzonden
- -Series
- dienen
- server
- Servers
- service
- Diensten
- reeks
- verscheidene
- haai
- Shell
- getoond
- Shows
- gelijk
- overeenkomsten
- Eenvoudig
- sinds
- website
- Klein
- So
- Software
- zonne-
- Oplossingen
- sommige
- Tussenruimte
- specifiek
- gespecificeerd
- verspreiden
- stapelen
- Stadium
- regie
- standaard
- starts
- steals
- Stap voor
- Stappen
- gestolen
- stop
- opgeslagen
- winkels
- Draad
- volgend
- Hierop volgend
- dergelijk
- steunen
- geschakelde
- symbool
- system
- Systems
- tafel
- ingenomen
- neemt
- doelwit
- doelgerichte
- targeting
- doelen
- Taak
- taken
- Technisch
- Technische Analyse
- telecommunicatie
- neem contact
- dat
- De
- hun
- Ze
- zich
- harte
- Er.
- Deze
- ze
- spullen
- Derde
- dit
- bedreiging
- bedreigingsactoren
- Bedreigingsrapport
- overal
- Dus
- dwarsbomen
- Ties
- niet de tijd of
- Titel
- naar
- tools
- tools
- top
- doorvoer
- vervoeren
- Trust
- vertrouwde
- twee
- type dan:
- typisch
- typisch
- Uncommon
- voor
- United
- Verenigde Arabische
- Verenigde Arabische Emiraten
- anders
- ongebruikt
- bijgewerkt
- geüpload
- Uploaden
- op
- URL
- us
- .
- gebruikt
- Gebruiker
- gebruikers
- toepassingen
- gebruik
- v1
- waarde
- Values
- variabele
- variëteit
- divers
- versie
- versie informatie
- versies
- verticals
- zeer
- via
- Slachtoffer
- slachtoffers
- Bezoek
- bezocht
- waarschuwing
- was
- manieren
- we
- web
- webserver
- webservices
- Website
- websites
- GOED
- waren
- welke
- en
- geheel
- Breedte
- wil
- ruiten
- Met
- binnen
- Woord
- workflow
- werkzaam
- het schrijven van
- geschreven
- ja
- nog
- zephyrnet