Os pesquisadores da ESET analisaram duas campanhas do grupo OilRig APT: Outer Space (2021) e Juicy Mix (2022). Ambas as campanhas de ciberespionagem visaram exclusivamente organizações israelenses, o que está em linha com o foco do grupo no Oriente Médio, e usaram o mesmo manual: a OilRig primeiro comprometeu um site legítimo para usar como servidor C&C e depois usou droppers VBS para entregar um C# /.NET backdoor para suas vítimas, ao mesmo tempo que implanta uma variedade de ferramentas pós-comprometimento usadas principalmente para exfiltração de dados nos sistemas de destino.
Em sua campanha Outer Space, a OilRig usou um backdoor C#/.NET simples e anteriormente não documentado que chamamos de Solar, junto com um novo downloader, SampleCheck5000 (ou SC5k), que usa a API de serviços Web do Microsoft Office Exchange para comunicação C&C. Para a campanha Juicy Mix, os atores da ameaça aprimoraram o Solar para criar o backdoor Mango, que possui recursos adicionais e métodos de ofuscação. Além de detectar o conjunto de ferramentas maliciosas, também notificamos o CERT israelense sobre os sites comprometidos.
Pontos-chave deste blogpost:
- A ESET observou duas campanhas OilRig que ocorreram ao longo de 2021 (Outer Space) e 2022 (Juicy Mix).
- Os operadores visaram exclusivamente organizações israelitas e comprometeram websites israelitas legítimos para utilização nas suas comunicações C&C.
- Eles usaram um novo backdoor de primeiro estágio C#/.NET, anteriormente não documentado, em cada campanha: Solar in Outer Space, e então seu sucessor Mango in Juicy Mix.
- Ambos os backdoors foram implantados por droppers VBS, provavelmente espalhados por meio de e-mails de spearphishing.
- Uma variedade de ferramentas pós-comprometimento foram implantadas em ambas as campanhas, notadamente o downloader SC5k que usa a API de serviços Web do Microsoft Office Exchange para comunicação C&C e diversas ferramentas para roubar dados e credenciais do navegador do Windows Credential Manager.
OilRig, também conhecido como APT34, Lyceum ou Siamesekitten, é um grupo de ciberespionagem que está ativo desde pelo menos 2014 e é comumente acreditado para ficar baseado no Irã. O grupo tem como alvo governos do Médio Oriente e uma variedade de setores verticais de negócios, incluindo produtos químicos, energia, finanças e telecomunicações. OilRig realizou a campanha DNSpionage em 2018 e 2019, que teve como alvo vítimas no Líbano e nos Emirados Árabes Unidos. Em 2019 e 2020, a OilRig continuou os ataques com o HardPass campanha, que usou o LinkedIn para atingir vítimas do Oriente Médio nos setores de energia e governamental. Em 2021, a OilRig atualizou seu DanBotGenericName backdoor e começou a implantar o Tubarão, Milãoe backdoors do Marlin, mencionados no Edição T3 2021 do Relatório de Ameaças da ESET.
Nesta postagem do blog, fornecemos análises técnicas dos backdoors Solar e Mango, do conta-gotas VBS usado para entregar Mango e das ferramentas pós-comprometimento implantadas em cada campanha.
Estratégias de Atribuição
O link inicial que nos permitiu conectar a campanha Outer Space à OilRig é o uso do mesmo dumper de dados personalizado do Chrome (rastreado pelos pesquisadores da ESET sob o nome MKG) como no Campanha Fora do Mar. Observamos o backdoor Solar implantar a mesma amostra de MKG de Out to Sea no sistema do alvo, junto com duas outras variantes.
Além da sobreposição de ferramentas e direcionamento, também vimos múltiplas semelhanças entre o backdoor Solar e os backdoors usados em Out to Sea, principalmente relacionados a upload e download: tanto o Solar quanto o Shark, outro backdoor da OilRig, usam URIs com esquemas simples de upload e download comunicar-se com o servidor C&C, com “d” para download e “u” para upload; além disso, o downloader SC5k usa subdiretórios de uploads e downloads, assim como outros backdoors da OilRig, nomeadamente ALMA, Shark, DanBot e Milan. Estas descobertas servem como mais uma confirmação de que o culpado por trás do Espaço Exterior é de facto a OilRig.
Quanto aos laços da campanha Juicy Mix com a OilRig, além de visar organizações israelenses – o que é típico deste grupo de espionagem – existem semelhanças de código entre o Mango, o backdoor usado nesta campanha, e o Solar. Além disso, ambos os backdoors foram implantados por droppers VBS com a mesma técnica de ofuscação de strings. A escolha de ferramentas pós-compromisso empregadas no Juicy Mix também reflete campanhas anteriores da OilRig.
Visão geral da campanha no espaço sideral
Nomeado devido ao uso de um esquema de nomenclatura baseado em astronomia em seus nomes de funções e tarefas, Outer Space é uma campanha OilRig de 2021. Nesta campanha, o grupo comprometeu um site de recursos humanos israelense e posteriormente o usou como um servidor C&C para seu serviço anterior. Backdoor C#/.NET não documentado, Solar. Solar é um backdoor simples com funcionalidades básicas, como leitura e gravação em disco e coleta de informações.
Por meio do Solar, o grupo implantou um novo downloader SC5k, que usa a API Office Exchange Web Services para baixar ferramentas adicionais para execução, conforme mostrado em REF_Ref142655526h Figura 1
. Para extrair dados do navegador do sistema da vítima, a OilRig usou um dumper de dados do Chrome chamado MKG.
Visão geral da campanha Juicy Mix
Em 2022, a OilRig lançou outra campanha dirigida a organizações israelitas, desta vez com um conjunto de ferramentas atualizado. Chamamos a campanha de Juicy Mix pelo uso de um novo backdoor da OilRig, Mango (com base no nome do assembly interno e no nome do arquivo, Manga.exe). Nesta campanha, os agentes da ameaça comprometeram um site legítimo de portal de empregos israelense para uso em comunicações C&C. As ferramentas maliciosas do grupo foram então implantadas contra uma organização de saúde, também com sede em Israel.
O backdoor de primeiro estágio do Mango é um sucessor do Solar, também escrito em C#/.NET, com mudanças notáveis que incluem recursos de exfiltração, uso de APIs nativas e código de evasão de detecção adicionado.
Junto com o Mango, também detectamos dois dumpers de dados de navegador anteriormente não documentados, usados para roubar cookies, histórico de navegação e credenciais dos navegadores Chrome e Edge, e um ladrão do Windows Credential Manager, todos atribuídos à OilRig. Estas ferramentas foram todas utilizadas contra o mesmo alvo da Mango, bem como contra outras organizações israelitas comprometidas ao longo de 2021 e 2022. REF_Ref125475515h Figura 2
mostra uma visão geral de como os vários componentes foram usados na campanha Juicy Mix.
Análise técnica
Nesta seção, fornecemos uma análise técnica dos backdoors Solar e Mango e do downloader SC5k, bem como de outras ferramentas que foram implantadas nos sistemas visados nessas campanhas.
Conta-gotas VBS
Para estabelecer uma posição segura no sistema do alvo, droppers Visual Basic Script (VBS) foram usados em ambas as campanhas, que muito provavelmente foram espalhadas por e-mails de spearphishing. Nossa análise abaixo se concentra no script VBS usado para descartar o Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); observe que o conta-gotas do Solar é muito semelhante.
O objetivo do dropper é entregar o backdoor Mango incorporado, agendar uma tarefa para persistência e registrar o comprometimento no servidor C&C. O backdoor incorporado é armazenado como uma série de substrings base64, que são concatenadas e decodificadas em base64. Como mostrado em REF_Ref125477632h Figura 3
, o script também usa uma técnica simples de desofuscação de strings, onde as strings são montadas usando operações aritméticas e o Chr função.
Além disso, o conta-gotas VBS do Mango adiciona outro tipo de ofuscação de string e código para configurar a persistência e registrar-se no servidor C&C. Como mostrado em REF_Ref125479004h * MERGEFORMAT Figura 4
, para desofuscar algumas strings, o script substitui quaisquer caracteres no conjunto #*+-_)(}{@$%^& de 0, então divide a string em números de três dígitos que são então convertidos em caracteres ASCII usando o Chr
função. Por exemplo, a cadeia 116110101109117+99111$68+77{79$68}46-50108109120115}77 traduz para Documento Msxml2.DOMD.
Uma vez incorporado o backdoor no sistema, o dropper passa a criar uma tarefa agendada que executa o Mango (ou Solar, na outra versão) a cada 14 minutos. Por fim, o script envia um nome codificado em base64 do computador comprometido por meio de uma solicitação POST para registrar o backdoor em seu servidor C&C.
Porta dos fundos solar
Solar é o backdoor usado na campanha Outer Space da OilRig. Possuindo funcionalidades básicas, esse backdoor pode ser usado para, entre outras coisas, baixar e executar arquivos, e exfiltrar automaticamente arquivos preparados.
Escolhemos o nome Solar com base no nome do arquivo usado pela OilRig, Solar.exe. É um nome adequado, já que o backdoor usa um esquema de nomenclatura astronômico para seus nomes de funções e tarefas usadas em todo o binário (Mercúrio, Vênus, março, Terra e Júpiter).
Solar inicia a execução executando as etapas mostradas em REF_Ref98146919h * MERGEFORMAT Figura 5
.
O backdoor cria duas tarefas, Terra
e Vênus, que são executados na memória. Não há função de parada para nenhuma das duas tarefas, portanto elas serão executadas indefinidamente. Terra
está programado para ser executado a cada 30 segundos e Vênus
está configurado para ser executado a cada 40 segundos.
Terra é a tarefa principal, responsável pela maior parte das funções do Solar. Ele se comunica com o servidor C&C usando a função Mercúrio para Sol, que envia informações básicas do sistema e da versão do malware ao servidor C&C e, em seguida, trata da resposta do servidor. Terra envia as seguintes informações para o servidor C&C:
- A corda (@); toda a string é criptografada.
- A corda 1.0.0.0, criptografado (possivelmente um número de versão).
- A corda 30000, criptografado (possivelmente o tempo de execução agendado de Terra
A criptografia e a descriptografia são implementadas em funções denominadas JúpiterE
e JúpiterD, respectivamente. Ambos chamam uma função chamada Júpiter X, que implementa um loop XOR conforme mostrado em REF_Ref98146962h Figura 6
.
A chave é derivada de uma variável de string global codificada, 6sEj7*0B7#7e um nonce: neste caso, uma string hexadecimal aleatória de 2 a 24 caracteres. Seguindo a criptografia XOR, a codificação base64 padrão é aplicada.
O servidor web de uma empresa israelense de recursos humanos, que a OilRig comprometeu em algum momento antes da implantação do Solar, foi usado como servidor C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Antes de ser anexado ao URI, o nonce de criptografia é criptografado e o valor da string de consulta inicial, rt, está configurado para d aqui, provavelmente para “download”.
A última etapa do Mercúrio para Sol
A função é processar uma resposta do servidor C&C. Isso é feito recuperando uma substring da resposta, que é encontrada entre os caracteres QQ@ e @kk. Esta resposta é uma sequência de instruções separadas por asteriscos (*) que é processado em uma matriz. Terra
em seguida, executa os comandos backdoor, que incluem o download de cargas adicionais do servidor, listando arquivos no sistema da vítima e executando executáveis específicos.
A saída do comando é então compactada com gzip usando a função Netuno
e criptografado com a mesma chave de criptografia e um novo nonce. Em seguida, os resultados são carregados no servidor C&C, assim:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
Guia da Máquina e o novo nonce são criptografados com o JúpiterE
função, e aqui o valor de rt está definido para u, provavelmente para “upload”.
Vênus, a outra tarefa agendada, é usada para exfiltração automatizada de dados. Esta pequena tarefa copia o conteúdo dos arquivos de um diretório (também chamado Vênus) para o servidor C&C. Esses arquivos provavelmente foram colocados aqui por alguma outra ferramenta OilRig, ainda não identificada. Após fazer upload de um arquivo, a tarefa o exclui do disco.
Porta dos fundos da manga
Para sua campanha Juicy Mix, a OilRig mudou do backdoor Solar para o Mango. Ele tem um fluxo de trabalho semelhante ao Solar e recursos sobrepostos, mas ainda assim há várias mudanças notáveis:
- Uso de TLS para comunicações C&C.
- Uso de APIs nativas, em vez de APIs .NET, para executar arquivos e comandos shell.
- Embora não seja usado ativamente, foi introduzido um código de evasão de detecção.
- Suporte para exfiltração automatizada (Vênus
- O suporte para modo log foi removido e os nomes dos símbolos foram ofuscados.
Ao contrário do esquema de nomenclatura com tema astronômico da Solar, Mango ofusca os nomes de seus símbolos, como pode ser visto em REF_Ref142592880h Figura 7
.
Além da ofuscação do nome do símbolo, o Mango também usa o método de empilhamento de strings (como mostrado em REF_Ref142592892h Figura 8
REF_Ref141802299h
) para ofuscar strings, o que complica o uso de métodos simples de detecção.
Semelhante ao Solar, o backdoor do Mango começa criando uma tarefa na memória, programada para ser executada indefinidamente a cada 32 segundos. Esta tarefa se comunica com o servidor C&C e executa comandos backdoor, semelhantes ao Solar's Terra
tarefa. Embora a Solar também crie Vênus, uma tarefa de exfiltração automatizada, esta funcionalidade foi substituída no Mango por um novo comando backdoor.
Na tarefa principal o Mango primeiro gera um identificador de vítima , para ser usado em comunicações C&C. O ID é calculado como um hash MD5 de , formatado como uma string hexadecimal.
Para solicitar um comando backdoor, o Mango envia a string d@ @ | para o servidor C&C http://www.darush.co[.]il/ads.asp – um portal de emprego israelense legítimo, provavelmente comprometido pela OilRig antes desta campanha. Notificamos a organização nacional israelense CERT sobre o compromisso.
O corpo da solicitação é construído da seguinte forma:
- Os dados a serem transmitidos são criptografados XOR usando a chave de criptografia Perguntas e 4g, então codificado em base64.
- Uma sequência pseudoaleatória de 3 a 14 caracteres é gerada a partir deste alfabeto (conforme aparece no código): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Os dados criptografados são inseridos em uma posição pseudoaleatória dentro da string gerada, entre [@ e @] delimitadores.
Para se comunicar com seu servidor C&C, a Mango utiliza o protocolo TLS (Transport Layer Security), que é utilizado para fornecer uma camada adicional de criptografia.
Da mesma forma, o comando backdoor recebido do servidor C&C é criptografado em XOR, codificado em base64 e, em seguida, colocado entre [@ e @] dentro do corpo da resposta HTTP. O comando em si é NCNT
(nesse caso, nenhuma ação é tomada) ou uma sequência de vários parâmetros delimitados por
@, conforme detalhado em REF_Ref125491491h mesa 1
, que lista os comandos backdoor do Mango. Observe que não está listado na tabela, mas é usado na resposta ao servidor C&C.
Tabela 1. Lista de comandos backdoor do Mango
arg1 |
arg2 |
arg3 |
Medida tomada |
Valor de retorno |
|
1 ou string vazia |
+sp |
N/D |
Executa o comando file/shell especificado (com os argumentos opcionais), usando o nativo CreateProcess API importada via DllImportar. Se os argumentos contiverem [S], é substituído por C: WindowsSystem32. |
Saída de comando. |
|
+nu |
N/D |
Retorna a string da versão do malware e o URL C&C. |
|; nesse caso: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N/D |
Enumera o conteúdo do diretório especificado (ou diretório de trabalho atual). |
Diretório de Para cada subdiretório:
Para cada arquivo: ARQUIVO Diretório(s) Arquivos) |
||
+dn |
N/D |
Carrega o conteúdo do arquivo para o servidor C&C por meio de uma nova solicitação HTTP POST formatada: você@ @ | @ @2@. |
Um de: · arquivo[ ] é carregado no servidor. · arquivo não encontrado! · caminho do arquivo vazio! |
||
2 |
Dados codificados em Base64 |
Nome do arquivo |
Despeja os dados especificados em um arquivo no diretório de trabalho. |
arquivo baixado para o caminho[ ] |
Cada comando backdoor é tratado em um novo thread e seus valores de retorno são então codificados em base64 e combinados com outros metadados. Finalmente, essa string é enviada ao servidor C&C usando o mesmo protocolo e método de criptografia descrito acima.
Técnica de evasão de detecção não utilizada
Curiosamente, encontramos um não utilizado técnica de evasão de detecção dentro da manga. A função responsável por executar arquivos e comandos baixados do servidor C&C leva um segundo parâmetro opcional – um ID de processo. Se definido, o Mango então usa o UpdateProcThreadAttribute
API para definir o PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) atributo para o processo especificado valorar: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), como mostrado em REF_Ref125480118h Figura 9
.
O objetivo desta técnica é impedir que soluções de segurança de endpoint carreguem seus ganchos de código de modo de usuário por meio de uma DLL neste processo. Embora o parâmetro não tenha sido utilizado na amostra que analisamos, ele poderá ser ativado em versões futuras.
versão 1.1.1
Sem relação com a campanha Juicy Mix, em julho de 2023 encontramos uma nova versão do backdoor Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), carregado no VirusTotal por vários usuários sob o nome Menorá.exe. A versão interna neste exemplo foi alterada de 1.0.0 para 1.1.1, mas a única mudança notável é o uso de um servidor C&C diferente, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Junto com esta versão, também descobrimos um documento do Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) com uma macro maliciosa que elimina o backdoor. REF_Ref143162004h Figura 10
mostra a falsa mensagem de aviso, incentivando o usuário a ativar macros para o documento, e o conteúdo falso que é exibido posteriormente, enquanto o código malicioso está sendo executado em segundo plano.
Figura 10. Documento do Microsoft Word com uma macro maliciosa que elimina o Mango v1.1.1
Ferramentas pós-comprometimento
Nesta seção, revisamos uma seleção de ferramentas pós-comprometimento usadas nas campanhas Outer Space e Juicy Mix da OilRig, destinadas a baixar e executar cargas adicionais e roubar dados dos sistemas comprometidos.
Baixador SampleCheck5000 (SC5k)
SampleCheck5000 (ou SC5k) é um downloader usado para baixar e executar ferramentas OilRig adicionais, notável por usar a API Microsoft Office Exchange Web Services para comunicação C&C: os invasores criam rascunhos de mensagens nesta conta de e-mail e ocultam os comandos backdoor nela. Posteriormente, o downloader faz login na mesma conta e analisa os rascunhos para recuperar comandos e cargas para executar.
SC5k usa valores predefinidos – URL do Microsoft Exchange, endereço de e-mail e senha – para fazer login no servidor Exchange remoto, mas também suporta a opção de substituir esses valores usando um arquivo de configuração no diretório de trabalho atual chamado configuração.key. Escolhemos o nome SampleCheck5000 com base em um dos endereços de e-mail que a ferramenta utilizou na campanha Outer Space.
Depois que o SC5k faz login no servidor Exchange remoto, ele recupera todos os e-mails no Esboços
diretório, classifica-os pelos mais recentes, mantendo apenas os rascunhos que possuem anexos. Em seguida, ele itera cada rascunho de mensagem com um anexo, procurando anexos JSON que contenham "dados" no corpo. Ele extrai o valor da chave dados, no arquivo JSON, base64 decodifica e descriptografa o valor e chama cmd.exe para executar a string de linha de comando resultante. SC5k então salva a saída do cmd.exe
execução para uma variável local.
Como próxima etapa do ciclo, o downloader reporta os resultados aos operadores da OilRig criando uma nova mensagem de e-mail no servidor Exchange e salvando-a como rascunho (não enviando), conforme mostrado em REF_Ref98147102
h * MERGEFORMAT Figura 11
. Uma técnica semelhante é usada para exfiltrar arquivos de uma pasta de teste local. Como última etapa do loop, o SC5k também registra a saída do comando em um formato criptografado e compactado no disco.
Dumpers de dados do navegador
É característico dos operadores da OilRig usar dumpers de dados do navegador em suas atividades pós-comprometimento. Descobrimos dois novos ladrões de dados de navegador entre as ferramentas pós-comprometimento implantadas na campanha Juicy Mix junto com o backdoor Mango. Eles despejam os dados roubados do navegador no % TEMP% diretório em arquivos nomeados Cupdate
e Euatualizar
(daí nossos nomes para eles: CDumper e EDumper).
Ambas as ferramentas são ladrões de dados do navegador C#/.NET, coletando cookies, histórico de navegação e credenciais dos navegadores Chrome (CDumper) e Edge (EDumper). Centramos nossa análise no CDumper, já que ambos os ladrões são praticamente idênticos, exceto por algumas constantes.
Ao ser executado, o CDumper cria uma lista de usuários com o Google Chrome instalado. Na execução, o ladrão se conecta ao Chrome SQLite Cookies, HISTÓRIA
e Dados de login bancos de dados sob %APPDATA%LocalGoogleChromeDados do usuárioe coleta dados do navegador, incluindo URLs visitados e logins salvos, usando consultas SQL.
Os valores do cookie são então descriptografados e todas as informações coletadas são adicionadas a um arquivo de log denominado C:Usuários AppDataLocalTempCupdate, em texto não criptografado. Esta funcionalidade é implementada em funções CDumper denominadas CookieGrab
(Vejo REF_Ref126168131h Figura 12
), HistóriaGrab, e PasswordGrab. Observe que não há mecanismo de exfiltração implementado no CDumper, mas o Mango pode exfiltrar arquivos selecionados por meio de um comando backdoor.
Tanto no espaço sideral quanto no anterior Fora do mar campanha, a OilRig usou um dumper de dados C/C++ Chrome chamado MKG. Assim como o CDumper e o EDumper, o MKG também conseguiu roubar nomes de usuário e senhas, histórico de navegação e cookies do navegador. Este dumper de dados do Chrome normalmente é implantado nos seguintes locais de arquivo (sendo o primeiro local o mais comum):
- %USERS%publicprogramsvmwaredir mkc.exe
- % USERS% PublicM64.exe
Ladrão do Gerenciador de Credenciais do Windows
Além das ferramentas de despejo de dados do navegador, a OilRig também usou um ladrão do Windows Credential Manager na campanha Juicy Mix. Esta ferramenta rouba credenciais do Windows Credential Manager e, semelhante ao CDumper e EDumper, armazena-as no % TEMP% diretório – desta vez em um arquivo chamado Atualização
(daí o nome IDumper). Ao contrário do CDumper e do EDumper, o IDumper é implementado como um script do PowerShell.
Tal como acontece com as ferramentas dumper do navegador, não é incomum que a OilRig colete credenciais do Windows Credential Manager. Anteriormente, os operadores da OilRig eram observados usando VALUEVAULT, um disponível ao público, Ferramenta de roubo de credenciais compilada pelo Go (consulte o Campanha HardPass 2019 e de um Campanha 2020), para o mesmo fim.
Conclusão
A OilRig continua a inovar e a criar novos implantes com recursos semelhantes aos de backdoor, enquanto encontra novas maneiras de executar comandos em sistemas remotos. O grupo aprimorou seu backdoor C#/.NET Solar da campanha Outer Space para criar um novo backdoor chamado Mango para a campanha Juicy Mix. O grupo implanta um conjunto de ferramentas personalizadas pós-comprometimento que são usadas para coletar credenciais, cookies e histórico de navegação dos principais navegadores e do Windows Credential Manager. Apesar dessas inovações, a OilRig também continua a contar com formas estabelecidas de obter dados do usuário.
Para quaisquer dúvidas sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em ameaçaintel@eset.com.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.
IoCs
Arquivos
SHA-1 |
Nome do arquivo |
Nome de detecção ESET |
Descrição |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MeuCV.doc |
VBA/OilRig.C |
Documento com macro maliciosa descartando Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Conta-gotas VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Porta dos fundos solar. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Manga.exe |
MSIL/OilRig.E |
Porta dos fundos do manga (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorá.exe |
MSIL/OilRig.E |
Porta dos fundos do manga (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agente.SXJ |
Dumper de dados de borda. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agente.SXJ |
Dumper de dados do Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agente.AH |
Dumper do Gerenciador de Credenciais do Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agente.AW |
MKG – dumper de dados do Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agente.AW |
MKG – dumper de dados do Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agente.AW |
MKG – dumper de dados do Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Downloader SC5k (versão de 32 bits). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Downloader SC5k (versão de 64 bits). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
nó.exe |
MSIL/OilRig.D |
Downloader SC5k (versão de 64 bits). |
Network
IP |
Domínio |
Provedor de hospedagem |
Visto pela primeira vez |
Adicionar ao carrinho |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquêsNet |
2022-07-29 |
N/D |
Técnicas MITER ATT e CK
Esta tabela foi construída usando versão 13 da estrutura MITER ATT & CK.
Tática |
ID |
Nome |
Descrição |
Desenvolvimento de Recursos |
Infraestrutura comprometida: servidor |
Nas campanhas Outer Space e Juicy Mix, a OilRig comprometeu sites legítimos para preparar ferramentas maliciosas e para comunicações C&C. |
|
Desenvolver recursos: malware |
A OilRig desenvolveu backdoors customizados (Solar e Mango), um downloader (SC5k) e um conjunto de ferramentas de roubo de credenciais para uso em suas operações. |
||
Recursos de palco: upload de malware |
A OilRig carregou componentes maliciosos em seus servidores C&C e armazenou arquivos e comandos pré-testados no Esboços diretório de e-mail de uma conta do Office 365 para SC5k baixar e executar. |
||
Recursos de estágio: ferramenta de upload |
A OilRig carregou ferramentas maliciosas em seus servidores C&C e armazenou arquivos pré-testados no Esboços diretório de e-mail de uma conta do Office 365 para SC5k baixar e executar. |
||
Acesso Inicial |
Phishing: anexo de spearphishing |
A OilRig provavelmente distribuiu suas campanhas Outer Space e Juicy Mix por meio de e-mails de phishing com seus conta-gotas VBS anexados. |
|
Execução |
Tarefa/Trabalho Agendado: Tarefa Agendada |
As ferramentas IDumper, EDumper e CDumper da OilRig usam tarefas agendadas denominadas ou seja, Ed , e cu para se executarem no contexto de outros usuários. Solar e Mango usam uma tarefa C#/.NET em um timer para executar iterativamente suas funções principais. |
|
Interpretador de comandos e scripts: PowerShell |
A ferramenta IDumper da OilRig usa PowerShell para execução. |
||
Interpretador de comandos e scripts: Shell de comando do Windows |
Uso de Solar, SC5k, IDumper, EDumper e CDumper da OilRig cmd.exe para executar tarefas no sistema. |
||
Interpretador de comandos e scripts: Visual Basic |
OilRig usa um VBScript malicioso para entregar e persistir seus backdoors Solar e Mango. |
||
API nativa |
O backdoor Mango da OilRig usa o CreateProcess API do Windows para execução. |
||
Persistência |
Tarefa/Trabalho Agendado: Tarefa Agendada |
O conta-gotas VBS da OilRig agenda uma tarefa chamada LembreteTask para estabelecer persistência para o backdoor do Mango. |
|
Evasão de Defesa |
Mascaramento: corresponder ao nome ou local legítimo |
OilRig usa nomes de arquivos legítimos ou inócuos para seu malware, a fim de se disfarçar de defensores e software de segurança. |
|
Arquivos ou informações ofuscados: Pacote de software |
OilRig usou Empacotador de scripts SAPIEN e Ofuscador SmartAssembly para ofuscar sua ferramenta IDumper. |
||
Arquivos ou informações ofuscados: cargas úteis incorporadas |
Os droppers VBS da OilRig têm cargas maliciosas incorporadas como uma série de substrings base64. |
||
Mascarar: Mascarar Tarefa ou Serviço |
Para parecer legítimo, o conta-gotas VBS do Mango agenda uma tarefa com a descrição Inicie o bloco de notas em um determinado horário. |
||
Remoção do Indicador: Limpar Persistência |
As ferramentas pós-comprometimento da OilRig excluem suas tarefas agendadas após um determinado período de tempo. |
||
Desofuscar / decodificar arquivos ou informações |
OilRig usa vários métodos de ofuscação para proteger suas strings e cargas incorporadas. |
||
Subverter controles de confiança |
SC5k usa o Office 365, geralmente um terceiro confiável e muitas vezes esquecido pelos defensores, como site de download. |
||
Prejudicar Defesas |
O backdoor Mango da OilRig tem uma capacidade (ainda) não utilizada de impedir que soluções de segurança de endpoint carreguem seu código de modo de usuário em processos específicos. |
||
Acesso de credencial |
Credenciais de armazenamentos de senhas: Credenciais de navegadores da Web |
As ferramentas personalizadas MKG, CDumper e EDumper da OilRig podem obter credenciais, cookies e histórico de navegação dos navegadores Chrome e Edge. |
|
Credenciais de armazenamentos de senhas: Windows Credential Manager |
A ferramenta personalizada de despejo de credenciais da OilRig, IDumper, pode roubar credenciais do Windows Credential Manager. |
||
Discovery |
Descoberta de informações do sistema |
Mango obtém o nome do computador comprometido. |
|
Descoberta de arquivos e diretórios |
Mango possui um comando para enumerar o conteúdo de um diretório especificado. |
||
Proprietário do sistema/descoberta de usuário |
Mango obtém o nome de usuário da vítima. |
||
Descoberta de conta: conta local |
As ferramentas EDumper, CDumper e IDumper da OilRig podem enumerar todas as contas de usuário no host comprometido. |
||
Descoberta de informações do navegador |
MKG despeja histórico e favoritos do Chrome. |
||
Comando e controle |
Protocolo de camada de aplicativo: protocolos da Web |
Mango usa HTTP nas comunicações C&C. |
|
Transferência de ferramenta de entrada |
O Mango tem a capacidade de baixar arquivos adicionais do servidor C&C para execução posterior. |
||
Ofuscação de dados |
Solar e SC5k usam um método simples de criptografia XOR junto com compactação gzip para ofuscar dados em repouso e em trânsito. |
||
Serviço Web: Comunicação Bidirecional |
SC5k usa o Office 365 para baixar e enviar arquivos para o Esboços diretório em uma conta de e-mail legítima. |
||
Codificação de Dados: Codificação Padrão |
Solar, Mango e MKG base64 decodificam os dados antes de enviá-los ao servidor C&C. |
||
Canal criptografado: criptografia simétrica |
Mango usa uma cifra XOR com a chave Perguntas e 4g para criptografar dados na comunicação C&C. |
||
Canal criptografado: criptografia assimétrica |
Mango usa TLS para comunicação C&C. |
||
exfiltration |
Exfiltração no canal C2 |
Mango, Solar e SC5k usam seus canais C&C para exfiltração. |
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Capaz
- Sobre
- acima
- Conta
- Contas
- Açao Social
- ativo
- ativamente
- atividades
- atores
- adicionado
- Adição
- Adicional
- Adicionalmente
- endereço
- endereços
- Adiciona
- Depois de
- depois
- contra
- Agente
- Destinado
- Todos os Produtos
- permitidas
- ALMA
- juntamente
- ao lado de
- Alfabeto
- tb
- entre
- an
- análise
- analisado
- e
- Outro
- qualquer
- api
- APIs
- aparecer
- aparece
- aplicado
- APT
- árabe
- Emirados Árabes
- arquivo
- SOMOS
- argumentos
- Ordem
- AS
- montado
- Montagem
- astronomia
- At
- Ataques
- Automatizado
- automaticamente
- Porta dos fundos
- Backdoors
- fundo
- baseado
- basic
- BE
- sido
- antes
- começou
- atrás
- ser
- abaixo
- além de
- entre
- Bloquear
- corpo
- bookmarks
- ambos
- navegador
- navegadores
- Navegando
- construído
- negócio
- mas a
- by
- chamada
- chamado
- chamadas
- Campanha
- Campanhas
- CAN
- capacidades
- capacidade
- transportado
- casas
- certo
- alterar
- mudado
- Alterações
- Canal
- canais
- característica
- caracteres
- químico
- escolha
- escolheu
- Chrome
- cifra
- remover filtragem
- código
- coletar
- Coleta
- COM
- combinado
- comum
- geralmente
- comunicar
- Comunicação
- Comunicações
- Empresa
- componentes
- compromisso
- Comprometido
- computador
- Configuração
- confirmação
- Contato
- conecta
- Contacto
- não contenho
- conteúdo
- contexto
- continuou
- continua
- convertido
- bolinhos
- poderia
- crio
- cria
- Criar
- criação
- CREDENCIAL
- Credenciais
- Atual
- personalizadas
- dados,
- bases de dados
- Descifrar
- Defensores
- entregar
- implantar
- implantado
- Implantação
- implanta
- Derivado
- descrito
- descrição
- Apesar de
- detalhado
- detectou
- Detecção
- desenvolvido
- diferente
- descoberto
- descoberta
- exibido
- distribuído
- divide
- documento
- parece
- download
- de downloads
- rascunho
- Cair
- desistiu
- Caindo
- Drops
- despejar
- cada
- Mais cedo
- Leste
- oriental
- borda
- ou
- e-mails
- incorporado
- emirados
- empregada
- permitir
- criptografada
- criptografia
- Ponto final
- Segurança de endpoint
- energia
- sedutor
- espionagem
- estabelecer
- estabelecido
- evasão
- Cada
- exemplo
- exchange
- exclusivamente
- executar
- executado
- Executa
- executando
- execução
- exfiltração
- Extractos
- falsificação
- Envie o
- Arquivos
- Finalmente
- financeiro
- descoberta
- descobertas
- Primeiro nome
- apropriado
- fluxo
- Foco
- concentra-se
- seguinte
- segue
- Escolha
- formato
- encontrado
- Quadro
- da
- de 2021
- função
- funcionalidades
- funcionalidade
- funções
- mais distante
- futuro
- coleta
- geralmente
- gerado
- gera
- Global
- meta
- Google Chrome
- Governo
- Governos
- Grupo
- Do grupo
- Alças
- hash
- Ter
- saúde
- conseqüentemente
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- HEX
- Esconder
- história
- Hooks
- hospedeiro
- Como funciona o dobrador de carta de canal
- HTML
- http
- HTTPS
- humano
- Recursos Humanos
- ID
- idêntico
- identificador
- if
- imagem
- implementado
- implementa
- melhorado
- in
- incluir
- Incluindo
- de fato
- info
- INFORMAÇÕES
- Infraestrutura
- do estado inicial,
- inovar
- e inovações
- Inquéritos
- instalado
- em vez disso
- instruções
- Inteligência
- interno
- para dentro
- introduzido
- Irão
- Israel
- IT
- ESTÁ
- se
- Trabalho
- json
- Julho
- apenas por
- manutenção
- Chave
- conhecido
- Sobrenome
- lançado
- camada
- mínimo
- Líbano
- esquerda
- legítimo
- como
- Provável
- Line
- LINK
- Lista
- Listado
- listagem
- listas
- carregamento
- local
- localização
- locais
- log
- longo
- procurando
- máquina
- Macro
- macros
- a Principal
- principal
- malwares
- Gerente
- Marlin
- mascarada
- Match
- MD5
- mecanismo
- Memória
- mencionado
- mensagem
- mensagens
- metadados
- método
- métodos
- Microsoft
- Coração
- Médio Oriente
- MILÃO
- milissegundos
- Minutos
- misturar
- Moda
- Além disso
- a maioria
- na maioria das vezes
- movimentos
- múltiplo
- nome
- Nomeado
- nomeadamente
- nomes
- nomeando
- Nacional
- nativo
- líquido
- mesmo assim
- Novo
- Próximo
- nist
- não
- notável
- notavelmente
- número
- números
- obter
- obtém
- ocorreu
- of
- Oferece
- Office
- frequentemente
- on
- ONE
- só
- Operações
- operadores
- Opção
- or
- ordem
- organização
- organizações
- Outros
- A Nossa
- Fora
- espaço exterior
- saída
- Acima de
- override
- Visão geral
- página
- parâmetro
- parâmetros
- festa
- Senha
- senhas
- caminho
- realização
- significativo
- persistência
- Phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- por favor
- ponto
- pontos
- Portal
- posição
- possivelmente
- Publique
- PowerShell
- praticamente
- antecessor
- anterior
- anteriormente
- primário
- privado
- provavelmente
- processo
- Processado
- processos
- Produto
- proteger
- protocolo
- fornecer
- publicado
- propósito
- consultas
- acaso
- em vez
- Leitura
- recebido
- recentemente
- cadastre-se
- relacionado
- depender
- remoto
- remoção
- Removido
- substituído
- Denunciar
- Relatórios
- solicitar
- pesquisa
- pesquisadores
- Recursos
- respectivamente
- resposta
- responsável
- DESCANSO
- resultando
- Resultados
- retorno
- rever
- equipamento
- Execute
- corrida
- s
- mesmo
- Salvar
- salvo
- poupança
- serra
- cronograma
- programado
- esquema
- esquemas
- escrita
- SEA
- Segundo
- segundo
- Seção
- Setores
- segurança
- Vejo
- visto
- selecionado
- doadores,
- envio
- envia
- enviei
- Série
- servir
- servidor
- Servidores
- serviço
- Serviços
- conjunto
- vários
- tubarão
- concha
- mostrando
- Shows
- semelhante
- semelhanças
- simples
- desde
- local
- pequeno
- So
- Software
- solar
- Soluções
- alguns
- Espaço
- específico
- especificada
- propagação
- empilhamento
- Etapa
- encenação
- padrão
- começa
- rouba
- Passo
- Passos
- roubado
- Dê um basta
- armazenadas
- lojas
- Tanga
- subseqüente
- Subseqüentemente
- tal
- suportes
- comutado
- símbolo
- .
- sistemas
- mesa
- tomado
- toma
- Target
- visadas
- alvejando
- tem como alvo
- Tarefa
- tarefas
- Dados Técnicos:
- Análise Técnica
- telecomunicações
- do que
- que
- A
- deles
- Eles
- si mesmos
- então
- Lá.
- Este
- deles
- coisas
- Terceiro
- isto
- ameaça
- atores de ameaças
- Relatório de Ameaça
- todo
- Assim
- contrariar
- Algemas
- tempo
- Título
- para
- ferramenta
- ferramentas
- topo
- trânsito
- transporte
- Confiança
- confiável
- dois
- tipo
- típico
- tipicamente
- Incomum
- para
- Unido
- Árabe unido
- Emirados Árabes Unidos
- ao contrário
- não usado
- Atualizada
- carregado
- Upload
- sobre
- URL
- us
- usar
- usava
- Utilizador
- usuários
- usos
- utilização
- v1
- valor
- Valores
- variável
- variedade
- vário
- versão
- versão informação
- versões
- Verticais
- muito
- via
- Vítima
- vítimas
- Visite a
- visitado
- aviso
- foi
- maneiras
- we
- web
- servidor web
- serviços web
- Site
- sites
- BEM
- foram
- qual
- enquanto
- inteiro
- largura
- precisarão
- Windows
- de
- dentro
- Word
- de gestão de documentos
- trabalhar
- escrita
- escrito
- sim
- ainda
- zefirnet