ESET-forskere har analysert to kampanjer av OilRig APT-gruppen: Outer Space (2021) og Juicy Mix (2022). Begge disse nettspioneringskampanjene rettet seg utelukkende mot israelske organisasjoner, noe som er i tråd med gruppens fokus på Midtøsten, og brukte den samme lekeboken: OilRig kompromitterte først et legitimt nettsted for bruk som en C&C-server og brukte deretter VBS-droppere for å levere en C# /.NET-bakdør til ofrene, samtidig som de distribuerer en rekke verktøy etter kompromiss som hovedsakelig brukes til dataeksfiltrering på målsystemene.
I deres Outer Space-kampanje brukte OilRig en enkel, tidligere udokumentert C#/.NET-bakdør vi kalte Solar, sammen med en ny nedlaster, SampleCheck5000 (eller SC5k), som bruker Microsoft Office Exchange Web Services API for C&C-kommunikasjon. For Juicy Mix-kampanjen forbedret trusselaktørene på Solar for å lage Mango-bakdøren, som har flere muligheter og tilsløringsmetoder. I tillegg til å oppdage det ondsinnede verktøysettet, varslet vi også den israelske CERT om de kompromitterte nettstedene.
Hovedpunkter i denne bloggposten:
- ESET observerte to OilRig-kampanjer som fant sted gjennom 2021 (Oter Space) og 2022 (Juicy Mix).
- Operatørene målrettet utelukkende israelske organisasjoner og kompromitterte legitime israelske nettsteder for bruk i deres C&C-kommunikasjon.
- De brukte en ny, tidligere udokumentert C#/.NET-bakdør i første trinn i hver kampanje: Solar in Outer Space, deretter etterfølgeren Mango i Juicy Mix.
- Begge bakdørene ble distribuert av VBS-droppere, antagelig spredt via spearphishing-e-poster.
- En rekke verktøy etter kompromiss ble distribuert i begge kampanjene, spesielt SC5k-nedlasteren som bruker Microsoft Office Exchange Web Services API for C&C-kommunikasjon, og flere verktøy for å stjele nettleserdata og påloggingsinformasjon fra Windows Credential Manager.
OilRig, også kjent som APT34, Lyceum eller Siamesekitten, er en nettspionasjegruppe som har vært aktiv siden minst 2014 og er vanlig antatt å være basert i Iran. Gruppen retter seg mot regjeringer i Midtøsten og en rekke forretningsvertikaler, inkludert kjemikalier, energi, finans og telekommunikasjon. OilRig gjennomførte DNSpionage-kampanjen i 2018 og 2019, som var rettet mot ofre i Libanon og De forente arabiske emirater. I 2019 og 2020 fortsatte OilRig angrepene med HardPass kampanje, som brukte LinkedIn til å målrette Midtøsten-ofre i energi- og offentlig sektor. I 2021 oppdaterte OilRig sin DanBot bakdør og begynte å distribuere Shark, Milan, og Marlin bakdører, nevnt i T3 2021-utgave av ESETs trusselrapport.
I dette blogginnlegget gir vi teknisk analyse av Solar- og Mango-bakdørene, av VBS-dropperen som brukes til å levere Mango, og av post-kompromissverktøyene som er distribuert i hver kampanje.
Attribution
Den første koblingen som gjorde det mulig for oss å koble Outer Space-kampanjen til OilRig, er bruken av den samme tilpassede Chrome-datadumperen (sporet av ESET-forskere under navnet MKG) som i Ut til havet-kampanje. Vi observerte at Solar-bakdøren distribuerte den samme prøven av MKG som i Out to Sea på målets system, sammen med to andre varianter.
Foruten overlappingen i verktøy og målretting, så vi også flere likheter mellom Solar-bakdøren og bakdørene som brukes i Out to Sea, hovedsakelig relatert til opp- og nedlasting: både Solar og Shark, en annen OilRig-bakdør, bruker URIer med enkle opp- og nedlastingsskjemaer å kommunisere med C&C-serveren, med en "d" for nedlasting og en "u" for opplasting; i tillegg bruker nedlasteren SC5k opplastinger og nedlastinger underkataloger akkurat som andre OilRig-bakdører, nemlig ALMA, Shark, DanBot og Milan. Disse funnene tjener som en ytterligere bekreftelse på at synderen bak Outer Space faktisk er OilRig.
Når det gjelder Juicy Mix-kampanjens bånd til OilRig, i tillegg til å målrette mot israelske organisasjoner – som er typisk for denne spionasjegruppen – er det kodelikheter mellom Mango, bakdøren som brukes i denne kampanjen, og Solar. Dessuten ble begge bakdørene utplassert av VBS-droppere med samme strengobfuskeringsteknikk. Valget av post-kompromissverktøy brukt i Juicy Mix gjenspeiler også tidligere OilRig-kampanjer.
Oversikt over kampanjen i Outer Space
Oppkalt etter bruken av et astronomibasert navneskjema i funksjonsnavn og oppgaver, er Outer Space en OilRig-kampanje fra 2021. I denne kampanjen kompromitterte gruppen et israelsk personalnettsted og brukte det deretter som en C&C-server for sin tidligere udokumentert C#/.NET-bakdør, Solar. Solar er en enkel bakdør med grunnleggende funksjonalitet som lesing og skriving fra disk, og innhenting av informasjon.
Gjennom Solar distribuerte gruppen deretter en ny nedlaster SC5k, som bruker Office Exchange Web Services API for å laste ned ytterligere verktøy for kjøring, som vist i REF _Ref142655526 h Figur 1
. For å eksfiltrere nettleserdata fra offerets system, brukte OilRig en Chrome-datadumper kalt MKG.
Juicy Mix-kampanjeoversikt
I 2022 lanserte OilRig nok en kampanje rettet mot israelske organisasjoner, denne gangen med et oppdatert verktøysett. Vi kalte kampanjen Juicy Mix for bruk av en ny OilRig-bakdør, Mango (basert på dets interne samlingsnavn og filnavnet, Mango.exe). I denne kampanjen kompromitterte trusselaktørene et legitimt israelsk jobbportalnettsted for bruk i C&C-kommunikasjon. Gruppens ondsinnede verktøy ble deretter utplassert mot en helseorganisasjon, også basert i Israel.
Mangos førstetrinns bakdør er en etterfølger til Solar, også skrevet i C#/.NET, med bemerkelsesverdige endringer som inkluderer eksfiltreringsevner, bruk av native API-er og ekstra deteksjonsunnvikelseskode.
Sammen med Mango oppdaget vi også to tidligere udokumenterte nettleserdatadumpere som ble brukt til å stjele informasjonskapsler, nettleserhistorikk og legitimasjon fra Chrome- og Edge-nettleserne, og en Windows Credential Manager-tyver, som vi tilskriver OilRig. Disse verktøyene ble alle brukt mot samme mål som Mango, så vel som mot andre kompromitterte israelske organisasjoner gjennom 2021 og 2022. REF _Ref125475515 h Figur 2
viser en oversikt over hvordan de ulike komponentene ble brukt i Juicy Mix-kampanjen.
Teknisk analyse
I denne delen gir vi en teknisk analyse av Solar- og Mango-bakdørene og SC5k-nedlasteren, samt andre verktøy som ble distribuert til de målrettede systemene i disse kampanjene.
VBS droppere
For å etablere fotfeste på målets system, ble Visual Basic Script (VBS) droppere brukt i begge kampanjene, som med stor sannsynlighet ble spredt av spearphishing-e-poster. Analysen vår nedenfor fokuserer på VBS-skriptet som brukes til å droppe Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); Legg merke til at Solars dropper er veldig lik.
Dropperens formål er å levere den innebygde Mango-bakdøren, planlegge en oppgave for utholdenhet og registrere kompromisset med C&C-serveren. Den innebygde bakdøren lagres som en serie med base64-delstrenger, som er sammenkoblet og base64-dekodet. Som vist i REF _Ref125477632 h Figur 3
, bruker skriptet også en enkel strengdeobfuskasjonsteknikk, der strenger settes sammen ved hjelp av aritmetiske operasjoner og f.Kr funksjon.
På toppen av det legger Mangos VBS-dropper til en annen type strengobfuskasjon og kode for å sette opp utholdenhet og registrere seg på C&C-serveren. Som vist i REF _Ref125479004 h * FLASJONFORMAT Figur 4
, for å deobfuskere noen strenger, erstatter skriptet alle tegn i settet #*+-_)(}{@$%^& med 0, deler deretter strengen inn i tresifrede tall som deretter konverteres til ASCII-tegn ved hjelp av f.Kr
funksjon. For eksempel strengen 116110101109117+99111$68+77{79$68}46-50108109120115}77 oversetter til Msxml2.DOMDocument.
Når bakdøren er innebygd i systemet, går dropperen videre for å lage en planlagt oppgave som utfører Mango (eller Solar, i den andre versjonen) hvert 14. minutt. Til slutt sender skriptet et base64-kodet navn på den kompromitterte datamaskinen via en POST-forespørsel for å registrere bakdøren med sin C&C-server.
Solar bakdør
Solar er bakdøren som brukes i OilRigs Outer Space-kampanje. Denne bakdøren har grunnleggende funksjoner og kan blant annet brukes til å laste ned og kjøre filer, og automatisk eksfiltrere iscenesatte filer.
Vi valgte navnet Solar basert på filnavnet brukt av OilRig, Solar.exe. Det er et passende navn siden bakdøren bruker et astronomi-navneskjema for funksjonsnavnene og oppgavene som brukes gjennom hele binæren (Mercury, Venus, Mars, Earthog Jupiter).
Solar begynner å utføre ved å utføre trinnene vist i REF _Ref98146919 h * FLASJONFORMAT Figur 5
.
Bakdøren skaper to oppgaver, Earth
og Venus, som kjører i minnet. Det er ingen stoppfunksjon for noen av de to oppgavene, så de vil kjøre på ubestemt tid. Earth
er planlagt å kjøre hvert 30. sekund og Venus
er satt til å kjøre hvert 40. sekund.
Earth er hovedoppgaven, ansvarlig for hoveddelen av Solars funksjoner. Den kommuniserer med C&C-serveren ved hjelp av funksjonen MercuryToSun, som sender grunnleggende system- og skadevareversjonsinformasjon til C&C-serveren og deretter håndterer serverens svar. Earth sender følgende informasjon til C&C-serveren:
- Strengen (@); hele strengen er kryptert.
- Strengen 1.0.0.0, kryptert (muligens et versjonsnummer).
- Strengen 30000, kryptert (muligens den planlagte kjøretiden for Earth
Kryptering og dekryptering er implementert i funksjoner med navn JupiterE
og JupiterD, henholdsvis. Begge kaller en funksjon kalt JupiterX, som implementerer en XOR-løkke som vist i REF _Ref98146962 h Figur 6
.
Nøkkelen er avledet fra en hardkodet global strengvariabel, 6sEj7*0B7#7Og nuncio: i dette tilfellet en tilfeldig sekskantstreng på 2–24 tegn. Etter XOR-krypteringen brukes standard base64-koding.
Nettserveren til et israelsk personaleselskap, som OilRig kompromitterte på et tidspunkt før de distribuerte Solar, ble brukt som C&C-serveren:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Før den legges til URI-en, krypteres ikke-krypteringen, og verdien til den første spørrestrengen, rt, er satt til d her, sannsynligvis for "nedlasting".
Det siste trinnet i MercuryToSun
funksjonen er å behandle et svar fra C&C-serveren. Det gjør det ved å hente en delstreng av svaret, som finnes mellom tegnene QQ@ og @kk. Dette svaret er en rekke instruksjoner atskilt med asterisker (*) som behandles til en matrise. Earth
utfører deretter bakdørskommandoene, som inkluderer nedlasting av ekstra nyttelast fra serveren, liste opp filer på offerets system og kjøring av spesifikke kjørbare filer.
Kommandoutdata blir deretter gzip-komprimert ved hjelp av funksjonen Neptune
og kryptert med samme krypteringsnøkkel og en ny nonce. Deretter lastes resultatene opp til C&C-serveren, slik:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid og den nye nonce er kryptert med JupiterE
funksjon, og her verdien av rt er satt til u, sannsynligvis for "opplasting".
Venus, den andre planlagte oppgaven, brukes til automatisert dataeksfiltrering. Denne lille oppgaven kopierer innholdet i filer fra en katalog (også kalt Venus) til C&C-serveren. Disse filene er sannsynligvis droppet her av et annet, foreløpig uidentifisert, OilRig-verktøy. Etter å ha lastet opp en fil, sletter oppgaven den fra disken.
Mango bakdør
For Juicy Mix-kampanjen byttet OilRig fra Solar-bakdøren til Mango. Den har en lignende arbeidsflyt som Solar og overlappende funksjoner, men det er likevel flere bemerkelsesverdige endringer:
- Bruk av TLS for C&C-kommunikasjon.
- Bruk av native APIer, i stedet for .NET APIer, for å utføre filer og shell-kommandoer.
- Selv om det ikke ble brukt aktivt, ble deteksjonsunndragelseskode introdusert.
- Støtte for automatisert eksfiltrering (Venus
- Støtte for loggmodus er fjernet, og symbolnavn er tilsløret.
I motsetning til Solars navneskjema med astronomi-tema, tilslører Mango symbolnavnene, som man kan se i REF _Ref142592880 h Figur 7
.
I tillegg til obfuskasjonen av symbolnavnet, bruker Mango også strengstablingsmetoden (som vist i REF _Ref142592892 h Figur 8
REF _Ref141802299 h
) for å skjule strenger, noe som kompliserer bruken av enkle deteksjonsmetoder.
I likhet med Solar starter Mango-bakdøren med å lage en oppgave i minnet, planlagt å kjøre på ubestemt tid hvert 32. sekund. Denne oppgaven kommuniserer med C&C-serveren og utfører bakdørskommandoer, som ligner på Solars Earth
oppgave. Mens Solar også skaper Venus, en oppgave for automatisert eksfiltrering, har denne funksjonaliteten blitt erstattet i Mango med en ny bakdørskommando.
I hovedoppgaven genererer Mango først en offeridentifikator, , som skal brukes i C&C-kommunikasjon. ID-en beregnes som en MD5-hash av , formatert som en heksadesimal streng.
For å be om en bakdørskommando, sender Mango deretter strengen d@ @ | til C&C-serveren http://www.darush.co[.]il/ads.asp – en legitim israelsk jobbportal, sannsynligvis kompromittert av OilRig før denne kampanjen. Vi varslet den israelske nasjonale CERT-organisasjonen om kompromisset.
Forespørselslegemet er konstruert som følger:
- Dataene som skal overføres er XOR-kryptert med krypteringsnøkkelen Q&4g, deretter base64-kodet.
- En pseudotilfeldig streng på 3–14 tegn genereres fra dette alfabetet (slik det vises i koden): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- De krypterte dataene settes inn i en pseudotilfeldig posisjon i den genererte strengen, innelukket mellom [@ og @] skilletegn.
For å kommunisere med sin C&C-server, bruker Mango TLS (Transport Layer Security)-protokollen, som brukes til å gi et ekstra lag med kryptering.
Tilsvarende er bakdørskommandoen mottatt fra C&C-serveren XOR-kryptert, base64-kodet og deretter innesluttet mellom [@ og @] i HTTP-svarkroppen. Selve kommandoen er enten NCNT
(i så fall gjøres ingen handling), eller en streng med flere parametere avgrenset med
@, som beskrevet i REF _Ref125491491 h Bord 1
, som viser Mangos bakdørskommandoer. Noter det er ikke oppført i tabellen, men brukes i svaret til C&C-serveren.
Tabell 1. Liste over Mangos bakdørskommandoer
arg1 |
arg2 |
arg3 |
Tiltak |
Returverdi |
|
1 eller tom streng |
+sp |
N / A |
Utfører den angitte fil-/shell-kommandoen (med de valgfrie argumentene), ved å bruke den opprinnelige Opprett prosess API importert via DllImport. Hvis argumentene inneholder [S], erstattes den av C: WindowsSystem32. |
Kommandoutgang. |
|
+nu |
N / A |
Returnerer strengen for malwareversjon og C&C URL. |
|; i dette tilfellet: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Oppregner innholdet i den angitte katalogen (eller gjeldende arbeidskatalog). |
Katalog over For hver underkatalog:
For hver fil: FIL Dir(er) Fil(er) |
||
+dn |
N / A |
Laster opp filinnholdet til C&C-serveren via en ny HTTP POST-forespørsel formatert: u@ @ | @ @2@. |
En av: · fil[ ] lastes opp til serveren. · fil ikke funnet! · filbane tom! |
||
2 |
Base64-kodede data |
filnavn |
Dumper de angitte dataene i en fil i arbeidskatalogen. |
fil lastet ned til bane[ ] |
Hver bakdørskommando håndteres i en ny tråd, og deres returverdier blir deretter base64-kodet og kombinert med andre metadata. Til slutt sendes den strengen til C&C-serveren ved å bruke samme protokoll og krypteringsmetode som beskrevet ovenfor.
Ubrukt deteksjonsunndragelsesteknikk
Interessant nok fant vi en ubrukt unnvikelsesteknikk i Mango. Funksjonen som er ansvarlig for å utføre filer og kommandoer som lastes ned fra C&C-serveren, tar en valgfri andre parameter – en prosess-ID. Hvis satt, bruker Mango deretter UpdateProcThreadAttribute
API for å angi PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) attributt for den angitte prosessen til verdi: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), som vist i REF _Ref125480118 h Figur 9
.
Denne teknikkens mål er å blokkere endepunktsikkerhetsløsninger fra å laste inn brukermoduskodekrokene via en DLL i denne prosessen. Selv om parameteren ikke ble brukt i prøven vi analyserte, kan den aktiveres i fremtidige versjoner.
versjon 1.1.1
Uten tilknytning til Juicy Mix-kampanjen fant vi i juli 2023 en ny versjon av Mango-bakdøren (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), lastet opp til VirusTotal av flere brukere under navnet Menorah.exe. Den interne versjonen i denne prøven ble endret fra 1.0.0 til 1.1.1, men den eneste bemerkelsesverdige endringen er bruken av en annen C&C-server, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Sammen med denne versjonen oppdaget vi også et Microsoft Word-dokument (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) med en ondsinnet makro som slipper bakdøren. REF _Ref143162004 h Figur 10
viser den falske advarselsmeldingen, som lokker brukeren til å aktivere makroer for dokumentet, og lokkeinnholdet som vises etterpå, mens den skadelige koden kjører i bakgrunnen.
Figur 10. Microsoft Word-dokument med en ondsinnet makro som slipper Mango v1.1.1
Verktøy etter kompromiss
I denne delen gjennomgår vi et utvalg av verktøy etter kompromiss som brukes i OilRigs Outer Space og Juicy Mix-kampanjer, rettet mot å laste ned og utføre ytterligere nyttelast, og stjele data fra de kompromitterte systemene.
SampleCheck5000 (SC5k) nedlaster
SampleCheck5000 (eller SC5k) er en nedlaster som brukes til å laste ned og kjøre ytterligere OilRig-verktøy, kjent for bruk av Microsoft Office Exchange Web Services API for C&C-kommunikasjon: angriperne lager utkast til meldinger i denne e-postkontoen og skjuler bakdørskommandoer der inne. Deretter logger nedlasteren på den samme kontoen og analyserer utkastene for å hente kommandoer og nyttelaster som skal utføres.
SC5k bruker forhåndsdefinerte verdier – Microsoft Exchange URL, e-postadresse og passord – for å logge på den eksterne Exchange-serveren, men den støtter også muligheten til å overstyre disse verdiene ved å bruke en konfigurasjonsfil i gjeldende arbeidskatalog kalt innstillingstast. Vi valgte navnet SampleCheck5000 basert på en av e-postadressene som verktøyet brukte i Outer Space-kampanjen.
Når SC5k logger på den eksterne Exchange-serveren, henter den alle e-postene i Utkast
katalogen, sorterer dem etter siste, og beholder bare utkastene som har vedlegg. Deretter itererer den over hvert utkast til melding med et vedlegg, og leter etter JSON-vedlegg som inneholder "data" i kroppen. Den trekker ut verdien fra nøkkelen dato i JSON-filen dekoder og dekrypterer base64 verdien, og kaller cmd.exe for å utføre den resulterende kommandolinjestrengen. SC5k lagrer deretter utdataene fra cmd.exe
utførelse til en lokal variabel.
Som neste trinn i løkken, rapporterer nedlasteren resultatene til OilRig-operatørene ved å opprette en ny e-postmelding på Exchange-serveren og lagre den som et utkast (ikke sender), som vist i REF _Ref98147102
h * FLASJONFORMAT Figur 11
. En lignende teknikk brukes til å eksfiltrere filer fra en lokal oppsamlingsmappe. Som det siste trinnet i loopen logger SC5k også kommandoutgangen i et kryptert og komprimert format på disk.
Nettleserdatadumpere
Det er karakteristisk for OilRig-operatører å bruke nettleserdatadumpere i sine aktiviteter etter kompromisser. Vi oppdaget to nye nettleserdatatyvere blant post-kompromissverktøyene som ble distribuert i Juicy Mix-kampanjen sammen med Mango-bakdøren. De dumper stjålne nettleserdata i % TEMP% katalog til filer navngitt Cupdate
og Oppdater
(derav våre navn for dem: CDumper og EDumper).
Begge verktøyene er C#/.NET-nettleserdatatyvere, som samler informasjonskapsler, nettleserhistorikk og legitimasjon fra nettleserne Chrome (CDumper) og Edge (EDumper). Vi fokuserer vår analyse på CDumper, siden begge stjelerne er praktisk talt identiske, bortsett fra noen konstanter.
Når den kjøres, oppretter CDumper en liste over brukere med Google Chrome installert. Ved utførelse kobler stjeleren seg til Chrome SQLite Cookies, Historie
og Innloggingsdata databaser under %APPDATA%LocalGoogleChrome-brukerdata, og samler inn nettleserdata inkludert besøkte URL-er og lagrede pålogginger, ved hjelp av SQL-spørringer.
Informasjonskapselverdiene dekrypteres, og all innsamlet informasjon legges til en loggfil med navn C: Brukere AppDataLocalTempCupdate, i klartekst. Denne funksjonaliteten er implementert i CDumper-funksjoner med navn CookieGrab
(Se REF _Ref126168131 h Figur 12
), HistoryGrab, og PasswordGrab. Merk at det ikke er noen eksfiltreringsmekanisme implementert i CDumper, men Mango kan eksfiltrere utvalgte filer via en bakdørskommando.
Både i verdensrommet og det tidligere Ut til Sea kampanje, brukte OilRig en C/C++ Chrome-datadumper kalt MKG. I likhet med CDumper og EDumper, var MKG også i stand til å stjele brukernavn og passord, nettleserhistorikk og informasjonskapsler fra nettleseren. Denne Chrome-datadumperen er vanligvis distribuert på følgende filplasseringer (med den første plasseringen som den vanligste):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Credential Manager-tyveri
I tillegg til verktøy for dumping av nettleserdata, brukte OilRig også en Windows Credential Manager-stealer i Juicy Mix-kampanjen. Dette verktøyet stjeler legitimasjon fra Windows Credential Manager, og i likhet med CDumper og EDumper lagrer de dem i % TEMP% katalog – denne gangen til en fil med navn IUpdate
(derav navnet IDumper). I motsetning til CDumper og EDumper, er IDumper implementert som et PowerShell-skript.
Som med nettleserdumperverktøyene, er det ikke uvanlig at OilRig samler inn legitimasjon fra Windows Credential Manager. Tidligere ble OilRigs operatører observert ved å bruke VALUEVAULT, en offentlig tilgjengelig, Go-kompilert legitimasjonstyveriverktøy (se HardPass-kampanje 2019 og en 2020-kampanje), for samme formål.
konklusjonen
OilRig fortsetter å innovere og skape nye implantater med bakdørslignende funksjoner samtidig som de finner nye måter å utføre kommandoer på eksterne systemer. Gruppen forbedret sin C#/.NET Solar-bakdør fra Outer Space-kampanjen for å lage en ny bakdør kalt Mango for Juicy Mix-kampanjen. Gruppen distribuerer et sett med tilpassede verktøy etter kompromiss som brukes til å samle inn legitimasjon, informasjonskapsler og nettleserhistorikk fra store nettlesere og fra Windows Credential Manager. Til tross for disse innovasjonene, fortsetter OilRig også å stole på etablerte måter å innhente brukerdata på.
For eventuelle spørsmål om forskningen vår publisert på WeLiveSecurity, vennligst kontakt oss på threatintel@eset.com.
ESET Research tilbyr private APT-etterretningsrapporter og datafeeder. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.
IoCs
Filer
SHA-1 |
filnavn |
ESET-deteksjonsnavn |
Beskrivelse |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Dokument med ondsinnet makro som slipper Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS dropper. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Solar bakdør. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Mango bakdør (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Mango bakdør (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Kantdatadumper. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Chrome datadumper. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper for Windows Credential Manager. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome datadumper. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome datadumper. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome datadumper. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k-nedlaster (32-biters versjon). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k-nedlaster (64-biters versjon). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
SC5k-nedlaster (64-biters versjon). |
Network
IP |
Domene |
Hosting-leverandør |
Først sett |
Detaljer |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
MITRE ATT&CK-teknikker
Dette bordet ble bygget vha versjon 13 av MITRE ATT&CK-rammeverket.
taktikk |
ID |
Navn |
Beskrivelse |
Ressursutvikling |
Kompromiss Infrastruktur: Server |
I både Outer Space- og Juicy Mix-kampanjer har OilRig kompromittert legitime nettsteder for å iscenesette ondsinnede verktøy og for C&C-kommunikasjon. |
|
Utvikle evner: Skadelig programvare |
OilRig har utviklet tilpassede bakdører (Solar og Mango), en nedlaster (SC5k) og et sett med legitimasjonstyveriverktøy for bruk i driften. |
||
Stageegenskaper: Last opp skadelig programvare |
OilRig har lastet opp skadelige komponenter til sine C&C-servere, og lagret forhåndslagrede filer og kommandoer i Utkast e-postkatalog for en Office 365-konto for SC5k å laste ned og kjøre. |
||
Stageegenskaper: Opplastingsverktøy |
OilRig har lastet opp skadelige verktøy til sine C&C-servere og lagret forhåndslagrede filer i Utkast e-postkatalog for en Office 365-konto for SC5k å laste ned og kjøre. |
||
Innledende tilgang |
Phishing: Spearphishing-vedlegg |
OilRig distribuerte sannsynligvis sine Outer Space- og Juicy Mix-kampanjer via phishing-e-poster med deres VBS-dropper vedlagt. |
|
Gjennomføring |
Planlagt oppgave/jobb: Planlagt oppgave |
OilRigs IDumper-, EDumper- og CDumper-verktøy bruker planlagte oppgaver med navn dvs, utg , og cu å henrette seg selv under konteksten til andre brukere. Solar og Mango bruker en C#/.NET-oppgave på en tidtaker for iterativt å utføre hovedfunksjonene sine. |
|
Kommando- og skripttolk: PowerShell |
OilRigs IDumper-verktøy bruker PowerShell for utførelse. |
||
Kommando- og skripttolk: Windows Command Shell |
OilRigs bruk av Solar, SC5k, IDumper, EDumper og CDumper cmd.exe å utføre oppgaver på systemet. |
||
Kommando- og skripttolk: Visual Basic |
OilRig bruker et ondsinnet VBScript for å levere og vedvare sine Solar- og Mango-bakdører. |
||
Innfødt API |
OilRigs Mango-bakdør bruker Opprett prosess Windows API for utførelse. |
||
Utholdenhet |
Planlagt oppgave/jobb: Planlagt oppgave |
OilRigs VBS dropper planlegger en oppgave som heter PåminnelseTask å etablere utholdenhet for Mango-bakdøren. |
|
Forsvarsunndragelse |
Masquerading: Match legitimt navn eller sted |
OilRig bruker legitime eller ufarlige filnavn for skadelig programvare for å skjule seg fra forsvarere og sikkerhetsprogramvare. |
|
Uklare filer eller informasjon: Programvarepakking |
OilRig har brukt SAPIEN Script Packager og SmartAssembly obfuscator for å skjule IDumper-verktøyet. |
||
Tilslørede filer eller informasjon: Innebygde nyttelaster |
OilRigs VBS-dropper har ondsinnede nyttelaster innebygd i seg som en serie med base64-understrenger. |
||
Maskering: Maskeradeoppgave eller tjeneste |
For å fremstå som legitim, planlegger Mangos VBS dropper en oppgave med beskrivelsen Start notisblokk på et bestemt tidspunkt. |
||
Indikatorfjerning: Clear Persistence |
OilRigs verktøy etter kompromiss sletter de planlagte oppgavene etter en viss tidsperiode. |
||
Deobfuscate / Decode filer eller informasjon |
OilRig bruker flere sløringsmetoder for å beskytte sine strenger og innebygde nyttelaster. |
||
Subvert Trust Controls |
SC5k bruker Office 365, vanligvis en pålitelig tredjepart og ofte oversett av forsvarere, som nedlastingsside. |
||
Forringe forsvaret |
OilRigs Mango-bakdør har en (ennå) ubrukt evne til å blokkere endepunktsikkerhetsløsninger fra å laste inn brukermoduskoden deres i spesifikke prosesser. |
||
Legitimasjonstilgang |
Legitimasjon fra passordbutikker: Legitimasjon fra nettlesere |
OilRigs tilpassede verktøy MKG, CDumper og EDumper kan hente legitimasjon, informasjonskapsler og nettleserhistorikk fra Chrome- og Edge-nettleserne. |
|
Påloggingsinformasjon fra passordbutikker: Windows Credential Manager |
OilRigs tilpassede legitimasjonsdumpingverktøy IDumper kan stjele legitimasjon fra Windows Credential Manager. |
||
Discovery |
Oppdagelse av systeminformasjon |
Mango får det kompromitterte datamaskinnavnet. |
|
Fil- og katalogoppdagelse |
Mango har en kommando for å telle opp innholdet i en spesifisert katalog. |
||
Systemeier/brukeroppdagelse |
Mango får offerets brukernavn. |
||
Kontooppdagelse: Lokal konto |
OilRigs EDumper-, CDumper- og IDumper-verktøy kan telle opp alle brukerkontoer på den kompromitterte verten. |
||
Oppdagelse av nettleserinformasjon |
MKG dumper Chrome-historikk og bokmerker. |
||
Command and Control |
Application Layer Protocol: Webprotokoller |
Mango bruker HTTP i C&C-kommunikasjon. |
|
Ingress Tool Transfer |
Mango har muligheten til å laste ned flere filer fra C&C-serveren for påfølgende kjøring. |
||
Dataobfuskasjon |
Solar og SC5k bruker en enkel XOR-krypteringsmetode sammen med gzip-komprimering for å skjule data i hvile og under transport. |
||
Webtjeneste: Toveis kommunikasjon |
SC5k bruker Office 365 for å laste ned filer fra og laste opp filer til Utkast katalog i en legitim e-postkonto. |
||
Datakoding: Standardkoding |
Solar, Mango og MKG base64 dekoder data før de sendes til C&C-serveren. |
||
Kryptert kanal: symmetrisk kryptografi |
Mango bruker et XOR-chiffer med nøkkelen Q&4g å kryptere data i C&C-kommunikasjon. |
||
Kryptert kanal: Asymmetrisk kryptografi |
Mango bruker TLS for C&C-kommunikasjon. |
||
exfiltration |
Eksfiltrering over C2-kanal |
Mango, Solar og SC5k bruker sine C&C-kanaler for eksfiltrering. |
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- I stand
- Om oss
- ovenfor
- Logg inn
- kontoer
- Handling
- aktiv
- aktivt
- Aktiviteter
- aktører
- la til
- tillegg
- Ytterligere
- I tillegg
- adresse
- adresser
- Legger
- Etter
- etterpå
- mot
- Agent
- sikte
- Alle
- tillatt
- ALMA
- langs
- sammen
- Alphabet
- også
- blant
- an
- analyse
- analysert
- og
- En annen
- noen
- api
- APIer
- vises
- vises
- anvendt
- APT
- Arab
- Arabiske Emirater
- Arkiv
- ER
- argumenter
- Array
- AS
- montert
- Montering
- astronomi
- At
- Angrep
- Automatisert
- automatisk
- backdoor
- Bakdører
- bakgrunn
- basert
- grunnleggende
- BE
- vært
- før du
- begynte
- bak
- være
- under
- foruten
- mellom
- Blokker
- kroppen
- bokmerker
- både
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- Surfer
- bygget
- virksomhet
- men
- by
- ring
- som heter
- Samtaler
- Kampanje
- Kampanjer
- CAN
- evner
- evne
- gjennomført
- saken
- viss
- endring
- endret
- Endringer
- Kanal
- kanaler
- karakteristisk
- tegn
- kjemisk
- valg
- valgte
- Chrome
- chiffer
- fjerne
- kode
- samle
- Samle
- COM
- kombinert
- Felles
- vanligvis
- kommunisere
- Kommunikasjon
- kommunikasjon
- Selskapets
- komponenter
- kompromiss
- kompromittert
- datamaskin
- Konfigurasjon
- bekreftelse
- Koble
- forbinder
- kontakt
- inneholde
- innhold
- kontekst
- fortsatte
- fortsetter
- konvertert
- cookies
- kunne
- skape
- skaper
- Opprette
- skaperverket
- KREDENSISJON
- Credentials
- Gjeldende
- skikk
- dato
- databaser
- dekryptere
- Defenders
- leverer
- utplassere
- utplassert
- utplasserings
- Distribueres
- Avledet
- beskrevet
- beskrivelse
- Til tross for
- detaljert
- oppdaget
- Gjenkjenning
- utviklet
- forskjellig
- oppdaget
- Funnet
- vises
- distribueres
- skillelinjer
- dokument
- gjør
- nedlasting
- nedlastinger
- Utkast
- Drop
- droppet
- slippe
- Drops
- dumpe
- hver enkelt
- Tidligere
- øst
- østlige
- Edge
- enten
- emalje
- e-post
- innebygd
- emiratene
- ansatt
- muliggjøre
- kryptert
- kryptering
- Endpoint
- Endpoint sikkerhet
- energi
- fristende
- spionasje
- etablere
- etablert
- unnvikelse
- Hver
- eksempel
- utveksling
- utelukkende
- henrette
- henrettet
- Utfører
- utførende
- gjennomføring
- eksfiltrering
- ekstrakter
- forfalskning
- filet
- Filer
- Endelig
- finansiell
- finne
- funn
- Først
- fitting
- flyten
- Fokus
- fokuserer
- etter
- følger
- Til
- format
- funnet
- Rammeverk
- fra
- fra 2021
- funksjon
- funksjonalitet
- funksjonalitet
- funksjoner
- videre
- framtid
- samle
- generelt
- generert
- genererer
- Global
- mål
- Google Chrome
- Regjeringen
- regjeringer
- Gruppe
- Gruppens
- Håndterer
- hash
- Ha
- helsetjenester
- derav
- her.
- HEX
- Gjemme seg
- historie
- kroker
- vert
- Hvordan
- HTML
- http
- HTTPS
- menneskelig
- Human Resources
- ID
- identiske
- identifikator
- if
- bilde
- implementert
- redskaper
- forbedret
- in
- inkludere
- Inkludert
- faktisk
- info
- informasjon
- Infrastruktur
- innledende
- innovere
- innovasjoner
- forespørsler
- installerte
- i stedet
- instruksjoner
- Intelligens
- intern
- inn
- introdusert
- Iran
- Israel
- IT
- DET ER
- selv
- Jobb
- JSON
- Juli
- bare
- holde
- nøkkel
- kjent
- Siste
- lansert
- lag
- minst
- Libanon
- venstre
- legitim
- i likhet med
- Sannsynlig
- linje
- LINK
- Liste
- oppført
- oppføring
- lister
- lasting
- lokal
- plassering
- steder
- logg
- Lang
- ser
- maskin
- Makro
- makroer
- Hoved
- større
- malware
- leder
- Marlin
- Masquerade
- Match
- MD5
- mekanisme
- Minne
- nevnt
- melding
- meldinger
- metadata
- metode
- metoder
- Microsoft
- Middle
- Midtøsten
- MILAN
- millisekunder
- minutter
- bland
- Mote
- Videre
- mest
- for det meste
- trekk
- flere
- navn
- oppkalt
- nemlig
- navn
- navngiving
- nasjonal
- innfødt
- nett
- likevel
- Ny
- neste
- nst
- Nei.
- bemerkelsesverdig
- spesielt
- Antall
- tall
- få
- innhenter
- forekom
- of
- Tilbud
- Office
- ofte
- on
- ONE
- bare
- Drift
- operatører
- Alternativ
- or
- rekkefølge
- organisasjon
- organisasjoner
- Annen
- vår
- ut
- verdensrommet
- produksjon
- enn
- overstyring
- oversikt
- side
- parameter
- parametere
- parti
- Passord
- passord
- banen
- utfører
- perioden
- utholdenhet
- phishing
- plato
- Platon Data Intelligence
- PlatonData
- vær så snill
- Point
- poeng
- Portal
- posisjon
- muligens
- Post
- PowerShell
- praktisk talt
- forgjenger
- forrige
- tidligere
- primære
- privat
- sannsynligvis
- prosess
- Bearbeidet
- Prosesser
- Produkt
- beskytte
- protokollen
- gi
- publisert
- formål
- spørsmål
- tilfeldig
- heller
- Lesning
- mottatt
- nylig
- registrere
- i slekt
- avhengige
- fjernkontroll
- fjerning
- fjernet
- erstattet
- rapporterer
- Rapporter
- anmode
- forskning
- forskere
- Ressurser
- henholdsvis
- svar
- ansvarlig
- REST
- resulterende
- Resultater
- retur
- anmeldelse
- rigg
- Kjør
- rennende
- s
- samme
- Spar
- lagret
- besparende
- så
- planlegge
- planlagt
- ordningen
- ordninger
- script
- SEA
- Sekund
- sekunder
- Seksjon
- sektorer
- sikkerhet
- se
- sett
- valgt
- utvalg
- sending
- sender
- sendt
- Serien
- betjene
- server
- Servere
- tjeneste
- Tjenester
- sett
- flere
- Hai
- Shell
- vist
- Viser
- lignende
- likheter
- Enkelt
- siden
- nettstedet
- liten
- So
- Software
- solenergi
- Solutions
- noen
- Rom
- spesifikk
- spesifisert
- spre
- stabling
- Scene
- iscenesettelse
- Standard
- starter
- stjeler
- Trinn
- Steps
- stjålet
- Stopp
- lagret
- butikker
- String
- senere
- I ettertid
- slik
- Støtter
- byttet om
- symbol
- system
- Systemer
- bord
- tatt
- tar
- Target
- målrettet
- rettet mot
- mål
- Oppgave
- oppgaver
- Teknisk
- Teknisk analyse
- telekommunikasjon
- enn
- Det
- De
- deres
- Dem
- seg
- deretter
- Der.
- Disse
- de
- ting
- Tredje
- denne
- trussel
- trusselaktører
- Trusselrapport
- hele
- Dermed
- hindre
- Ties
- tid
- Tittel
- til
- verktøy
- verktøy
- topp
- transitt
- transportere
- Stol
- klarert
- to
- typen
- typisk
- typisk
- Uvanlig
- etter
- forent
- De forente arabiske
- De forente arabiske emirater
- I motsetning til
- ubrukt
- oppdatert
- lastet opp
- Opplasting
- upon
- URL
- us
- bruke
- brukt
- Bruker
- Brukere
- bruker
- ved hjelp av
- v1
- verdi
- Verdier
- variabel
- variasjon
- ulike
- versjon
- versjonsinformasjon
- versjoner
- vertikaler
- veldig
- av
- Offer
- ofre
- Besøk
- besøkte
- advarsel
- var
- måter
- we
- web
- webserveren
- webtjenester
- Nettsted
- nettsteder
- VI VIL
- var
- hvilken
- mens
- hele
- bredde
- vil
- vinduer
- med
- innenfor
- ord
- arbeidsflyt
- arbeid
- skriving
- skrevet
- ja
- ennå
- zephyrnet