Cercetătorii ESET au analizat două campanii ale grupului OilRig APT: Outer Space (2021) și Juicy Mix (2022). Ambele campanii de spionaj cibernetic au vizat exclusiv organizațiile israeliene, ceea ce este în concordanță cu concentrarea grupului asupra Orientului Mijlociu, și au folosit același manual: OilRig a compromis mai întâi un site web legitim pentru a fi folosit ca server C&C și apoi a folosit droppers VBS pentru a furniza un C#. /.NET backdoor pentru victimele sale, în timp ce implementează o varietate de instrumente post-compromis utilizate în principal pentru exfiltrarea datelor pe sistemele țintă.
În campania lor pentru spațiul cosmic, OilRig a folosit o ușă C#/.NET simplă, nedocumentată anterior, numită Solar, împreună cu un nou program de descărcare, SampleCheck5000 (sau SC5k), care utilizează API-ul Microsoft Office Exchange Web Services pentru comunicarea C&C. Pentru campania Juicy Mix, actorii amenințărilor au îmbunătățit Solar pentru a crea ușa din spate Mango, care posedă capacități suplimentare și metode de ofuscare. Pe lângă detectarea setului de instrumente rău intenționate, am notificat și CERT israelian despre site-urile web compromise.
Puncte cheie ale acestei postări pe blog:
- ESET a observat două campanii OilRig care au avut loc pe parcursul anului 2021 (Outer Space) și 2022 (Juicy Mix).
- Operatorii au vizat exclusiv organizații israeliene și au compromis site-uri web legitime israeliene pentru a fi utilizate în comunicațiile lor C&C.
- Ei au folosit o ușă din spate C#/.NET nouă, nedocumentată anterior, în prima etapă în fiecare campanie: Solar in Outer Space, apoi succesorul său Mango în Juicy Mix.
- Ambele uși din spate au fost implementate de droppers VBS, probabil răspândite prin e-mailuri de spearphishing.
- O varietate de instrumente post-compromis au fost implementate în ambele campanii, în special programul de descărcare SC5k care folosește API-ul Microsoft Office Exchange Web Services pentru comunicarea C&C și mai multe instrumente pentru a fura datele browserului și acreditările din Windows Credential Manager.
OilRig, cunoscut și ca APT34, Lyceum sau Siamesekitten, este un grup de spionaj cibernetic care este activ din 2014 și se crede în mod obișnuit să aibă sediul în Iran. Grupul vizează guvernele din Orientul Mijlociu și o varietate de verticale de afaceri, inclusiv industria chimică, energetică, financiară și telecomunicații. OilRig a desfășurat campania DNSpionage în 2018 și 2019, care a vizat victime din Liban și Emiratele Arabe Unite. În 2019 și 2020, OilRig a continuat atacurile cu HardPass campanie, care a folosit LinkedIn pentru a viza victimele din Orientul Mijlociu din sectoarele energetice și guvernamentale. În 2021, OilRig și-a actualizat DanBot backdoor și a început să implementeze Rechin, Milano, și ușile din spate Marlin, menționate în Emisiunea T3 2021 din Raportul de amenințări ESET.
În această postare pe blog, oferim o analiză tehnică a ușilor din spate Solar și Mango, a dropper-ului VBS folosit pentru a livra Mango și a instrumentelor post-compromis implementate în fiecare campanie.
atribuire
Legătura inițială care ne-a permis să conectăm campania Outer Space la OilRig este utilizarea aceluiași dumper de date Chrome personalizat (urmărit de cercetătorii ESET sub numele MKG) ca și în Campanie Out to Sea. Am observat că ușa din spate Solar a implementat același eșantion de MKG ca în Out to Sea pe sistemul țintei, împreună cu alte două variante.
Pe lângă suprapunerea în instrumente și direcționare, am văzut, de asemenea, asemănări multiple între ușile din spate Solar și ușile din spate utilizate în Out to Sea, în principal legate de încărcare și descărcare: atât Solar, cât și Shark, un alt backdoor OilRig, folosesc URI-uri cu scheme simple de încărcare și descărcare. pentru a comunica cu serverul C&C, cu un „d” pentru descărcare și un „u” pentru încărcare; în plus, programul de descărcare SC5k utilizează subdirectoare de încărcare și descărcare la fel ca alte uși din spate OilRig, și anume ALMA, Shark, DanBot și Milan. Aceste descoperiri servesc ca o confirmare suplimentară a faptului că vinovatul din spatele spațiului cosmic este într-adevăr OilRig.
În ceea ce privește legăturile campaniei Juicy Mix cu OilRig, pe lângă țintirea organizațiilor israeliene – ceea ce este tipic pentru acest grup de spionaj – există similarități de cod între Mango, ușa din spate folosită în această campanie, și Solar. Mai mult, ambele uși din spate au fost desfășurate de droppers VBS cu aceeași tehnică de ofucare a șirurilor. Alegerea instrumentelor post-compromis utilizate în Juicy Mix reflectă, de asemenea, campaniile anterioare OilRig.
Prezentare generală a campaniei pentru spațiul cosmic
Numit pentru utilizarea unei scheme de denumire bazată pe astronomie în numele funcțiilor și sarcinile sale, Outer Space este o campanie OilRig din 2021. În această campanie, grupul a compromis un site de resurse umane israelian și l-a folosit ulterior ca server C&C pentru anteriorul său. backdoor C#/.NET nedocumentat, Solar. Solar este o ușă din spate simplă, cu funcționalități de bază, cum ar fi citirea și scrierea de pe disc și colectarea de informații.
Prin Solar, grupul a implementat apoi un nou program de descărcare SC5k, care utilizează API-ul Office Exchange Web Services pentru a descărca instrumente suplimentare pentru execuție, așa cum se arată în REF _Ref142655526 h Figura 1
. Pentru a exfiltra datele browserului din sistemul victimei, OilRig a folosit un dumper de date Chrome numit MKG.
Prezentare generală a campaniei Juicy Mix
În 2022, OilRig a lansat o altă campanie care vizează organizațiile israeliene, de data aceasta cu un set de instrumente actualizat. Am denumit campania Juicy Mix pentru utilizarea unei noi uși din spate OilRig, Mango (pe baza numelui său intern al ansamblului și a numelui fișierului, Mango.exe). În această campanie, actorii amenințărilor au compromis un site web legitim al portalului de locuri de muncă israelian pentru a fi utilizat în comunicațiile C&C. Instrumentele rău intenționate ale grupului au fost apoi implementate împotriva unei organizații de asistență medicală, cu sediul tot în Israel.
Backdoorul din prima etapă Mango este un succesor al Solar, scris și în C#/.NET, cu modificări notabile care includ capabilități de exfiltrare, utilizarea de API-uri native și cod de evaziune de detectare adăugat.
Împreună cu Mango, am detectat, de asemenea, două dummpere de date de browser nedocumentate anterior, utilizate pentru a fura cookie-uri, istoricul de navigare și acreditările din browserele Chrome și Edge, și un furt de Windows Credential Manager, pe care le atribuim OilRig. Toate aceste instrumente au fost folosite împotriva aceluiași obiectiv ca Mango, precum și în cazul altor organizații israeliene compromise în 2021 și 2022. REF _Ref125475515 h Figura 2
arată o imagine de ansamblu asupra modului în care au fost utilizate diferitele componente în campania Juicy Mix.
Analiza tehnica
În această secțiune, oferim o analiză tehnică a ușilor din spate Solar și Mango și a descărcatorului SC5k, precum și a altor instrumente care au fost implementate în sistemele vizate în aceste campanii.
Picuratori VBS
Pentru a stabili un punct de sprijin pe sistemul țintei, în ambele campanii au fost folosite droppers Visual Basic Script (VBS), care foarte probabil au fost răspândite prin e-mailuri de spearphishing. Analiza noastră de mai jos se concentrează pe scriptul VBS folosit pentru a arunca Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); rețineți că picuratorul Solar este foarte asemănător.
Scopul dropper-ului este să livreze backdoorul Mango încorporat, să programeze o sarcină pentru persistență și să înregistreze compromisul pe serverul C&C. Ușa din spate încorporată este stocată ca o serie de subșiruri base64, care sunt concatenate și decodificate în bază64. Așa cum se arată în REF _Ref125477632 h Figura 3
, scriptul folosește, de asemenea, o tehnică simplă de deofuzare a șirurilor, în care șirurile sunt asamblate folosind operații aritmetice și chr Funcția.
În plus, dropperul VBS de la Mango adaugă un alt tip de ofuscare și cod pentru a configura persistența și a se înregistra pe serverul C&C. Așa cum se arată în REF _Ref125479004 h * MERGEFORMAT Figura 4
, pentru a dezfunda unele șiruri de caractere, scriptul înlocuiește orice caractere din set #*+-_)(}{@$%^& cu 0, apoi împarte șirul în numere din trei cifre care sunt apoi convertite în caractere ASCII folosind chr
funcţie. De exemplu, sfoara 116110101109117+99111$68+77{79$68}46-50108109120115}77 se traduce la Msxml2.DOMDocument.
Odată ce ușa din spate este încorporată în sistem, dropperul trece la crearea unei sarcini programate care execută Mango (sau Solar, în cealaltă versiune) la fiecare 14 minute. În cele din urmă, scriptul trimite un nume codificat în base64 al computerului compromis printr-o solicitare POST pentru a înregistra ușa din spate cu serverul său C&C.
Ușa din spate solară
Solar este ușa din spate folosită în campania OilRig pentru spațiul cosmic. Dispunând de funcționalități de bază, această ușă din spate poate fi folosită, printre altele, pentru a descărca și executa fișiere și pentru a exfiltra automat fișierele în etape.
Am ales numele Solar pe baza numelui de fișier folosit de OilRig, Solar.exe. Este un nume potrivit, deoarece ușa din spate folosește o schemă de denumire astronomică pentru numele funcțiilor și sarcinile sale utilizate în binar (mercur, Venus, martie, Pământ, și Jupiter).
Solar începe execuția efectuând pașii indicați în REF _Ref98146919 h * MERGEFORMAT Figura 5
.
Ușa din spate creează două sarcini, Pământ
și Venus, care rulează în memorie. Nu există nicio funcție de oprire pentru niciuna dintre cele două sarcini, așa că vor rula pe termen nelimitat. Pământ
este programat să ruleze la fiecare 30 de secunde și Venus
este setat să ruleze la fiecare 40 de secunde.
Pământ este sarcina principală, responsabilă pentru cea mai mare parte a funcțiilor solare. Comunică cu serverul C&C folosind funcția MercurToSun, care trimite informații de bază despre versiunea sistemului și a programelor malware către serverul C&C și apoi se ocupă de răspunsul serverului. Pământ trimite următoarele informații către serverul C&C:
- Șirul (@); întregul șir este criptat.
- Șirul 1.0.0.0, criptat (eventual un număr de versiune).
- Șirul 30000, criptat (posibil timpul de execuție programat al Pământ
Criptarea și decriptarea sunt implementate în funcțiile numite JupiterE
și JupiterD, respectiv. Ambii apelează la o funcție numită JupiterX, care implementează o buclă XOR așa cum se arată în REF _Ref98146962 h Figura 6
.
Cheia este derivată dintr-o variabilă șir global codificată, 6sEj7*0B7#7, Precum și o nunțiu: în acest caz, un șir hexadecimal aleatoriu de la 2 la 24 de caractere. În urma criptării XOR, se aplică codarea standard base64.
Serverul web al unei companii israeliene de resurse umane, pe care OilRig l-a compromis la un moment dat înainte de a implementa Solar, a fost folosit ca server C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Înainte de a fi atașat la URI, nonce de criptare este criptat, iar valoarea șirului de interogare inițial, rt, este setat sa d aici, probabil pentru „descărcare”.
Ultimul pas al MercurToSun
funcția este de a procesa un răspuns de la serverul C&C. O face prin preluarea unui subșir al răspunsului, care se găsește între caractere QQ@ și @kk. Acest răspuns este un șir de instrucțiuni separate prin asteriscuri (*) care este procesat într-o matrice. Pământ
apoi execută comenzile backdoor, care includ descărcarea de încărcături suplimentare de pe server, listarea fișierelor de pe sistemul victimei și rularea unor executabile specifice.
Ieșirea comenzii este apoi comprimată prin gzip folosind funcția Neptun
și criptat cu aceeași cheie de criptare și un nou nonce. Apoi rezultatele sunt încărcate pe serverul C&C, astfel:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid iar noile nonce sunt criptate cu JupiterE
funcția și aici valoarea lui rt este setat la u, probabil pentru „încărcare”.
Venus, cealaltă sarcină programată, este utilizată pentru exfiltrarea automată a datelor. Această mică sarcină copiază conținutul fișierelor dintr-un director (numit și Venus) către serverul C&C. Aceste fișiere sunt probabil aruncate aici de un alt instrument OilRig, încă neidentificat. După încărcarea unui fișier, sarcina îl șterge de pe disc.
Ușa din spate Mango
Pentru campania Juicy Mix, OilRig a trecut de la ușa din spate Solar la Mango. Are un flux de lucru similar cu cel solar și capabilități suprapuse, dar există totuși câteva modificări notabile:
- Utilizarea TLS pentru comunicațiile C&C.
- Utilizarea API-urilor native, mai degrabă decât a API-urilor .NET, pentru a executa fișiere și comenzi shell.
- Deși nu este utilizat în mod activ, a fost introdus codul de evaziune de detectare.
- Suport pentru exfiltrare automată (Venus
- Suportul pentru modul jurnal a fost eliminat, iar numele simbolurilor au fost ascunse.
Spre deosebire de schema de numire cu tematică astronomică a Solar, Mango își ofucă numele simbolurilor, așa cum se poate vedea în REF _Ref142592880 h Figura 7
.
Pe lângă ofuscarea numelui simbolului, Mango folosește și metoda de stivuire a șirurilor (după cum se arată în REF _Ref142592892 h Figura 8
REF _Ref141802299 h
) pentru a ofusca șirurile, ceea ce complică utilizarea metodelor simple de detectare.
Similar cu Solar, ușa din spate Mango începe prin crearea unei sarcini în memorie, programată să ruleze pe termen nelimitat la fiecare 32 de secunde. Această sarcină comunică cu serverul C&C și execută comenzi backdoor, similare cu cele ale lui Solar Pământ
sarcină. În timp ce Solar creează și el Venus, o sarcină pentru exfiltrarea automată, această funcționalitate a fost înlocuită în Mango cu o nouă comandă backdoor.
În sarcina principală, Mango generează mai întâi un identificator de victimă, , pentru a fi utilizat în comunicațiile C&C. ID-ul este calculat ca un hash MD5 al , formatat ca șir hexazecimal.
Pentru a solicita o comandă backdoor, Mango trimite apoi șirul d@ @ | către serverul C&C http://www.darush.co[.]il/ads.asp – un portal de locuri de muncă israelian legitim, probabil compromis de OilRig înainte de această campanie. Am notificat organizația națională israeliană CERT despre compromis.
Corpul cererii este construit după cum urmează:
- Datele care trebuie transmise sunt criptate XOR folosind cheia de criptare Întrebări și 4g, apoi codificat în bază64.
- Din acest alfabet este generat un șir pseudoaleatoriu de 3-14 caractere (așa cum apare în cod): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Datele criptate sunt inserate într-o poziție pseudoaleatorie în cadrul șirului generat, cuprins între [@ și @] delimitatori.
Pentru a comunica cu serverul său C&C, Mango utilizează protocolul TLS (Transport Layer Security), care este folosit pentru a oferi un strat suplimentar de criptare.
În mod similar, comanda backdoor primită de la serverul C&C este criptată XOR, codificată base64 și apoi închisă între [@ și @] în corpul răspunsului HTTP. Comanda în sine este fie NCNT
(caz în care nu se întreprinde nicio acțiune), sau un șir de mai mulți parametri delimitați de
@, după cum se detaliază în REF _Ref125491491 h Tabel 1
, care listează comenzile de ușă din spate ale lui Mango. Rețineți că nu este listat în tabel, dar este folosit în răspunsul la serverul C&C.
Tabelul 1. Lista comenzilor backdoor ale lui Mango
arg1 |
arg2 |
arg3 |
Acțiunile întreprinse |
Valoare returnată |
|
1 sau șir gol |
+sp |
- |
Execută comanda fișier/shell specificată (cu argumentele opționale), folosind nativul CreateProcess API importat prin DllImport. Dacă argumentele conţin [S], este înlocuit cu C: WindowsSystem32. |
Ieșire comandă. |
|
+nu |
- |
Returnează șirul versiunii malware și adresa URL C&C. |
|; în acest caz: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
- |
Enumerează conținutul directorului specificat (sau directorului de lucru curent). |
Directorul de Pentru fiecare subdirector:
Pentru fiecare fișier: FIŞIER Dir(e) Fișier(e) |
||
+dn |
- |
Încarcă conținutul fișierului pe serverul C&C printr-o nouă solicitare HTTP POST formatată: tu@ @ | @ @2@. |
Unul dintre: · fişier[ ] este încărcat pe server. · fișierul nu a fost găsit! · calea fișierului este goală! |
||
2 |
Date codificate în Base64 |
Filename |
Turnează datele specificate într-un fișier din directorul de lucru. |
fișier descărcat în cale[ ] |
Fiecare comandă backdoor este gestionată într-un fir nou, iar valorile lor returnate sunt apoi codificate în bază64 și combinate cu alte metadate. În cele din urmă, acel șir este trimis către serverul C&C folosind același protocol și metodă de criptare descrise mai sus.
Tehnica de evaziune a detectiei neutilizate
Interesant, am găsit un nefolosit tehnica de detectare a evadării în cadrul Mango. Funcția responsabilă pentru executarea fișierelor și comenzilor descărcate de pe serverul C&C ia un al doilea parametru opțional – un ID de proces. Dacă este setat, Mango folosește apoi UpdateProcThreadAttribute
API pentru a seta PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) atribut pentru procesul specificat la valoarea: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), așa cum se arată în REF _Ref125480118 h Figura 9
.
Scopul acestei tehnici este de a bloca soluțiile de securitate ale punctelor finale de la încărcarea cârligelor de cod în modul utilizator prin intermediul unui DLL în acest proces. Deși parametrul nu a fost utilizat în eșantionul pe care l-am analizat, acesta ar putea fi activat în versiunile viitoare.
versiune 1.1.1
Fără legătură cu campania Juicy Mix, în iulie 2023 am găsit o nouă versiune a ușii din spate Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), încărcat în VirusTotal de mai mulți utilizatori sub numele Menorah.exe. Versiunea internă din acest exemplu a fost modificată de la 1.0.0 la 1.1.1, dar singura modificare notabilă este utilizarea unui alt server C&C, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Odată cu această versiune, am descoperit și un document Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) cu o macrocomandă rău intenționată care elimină ușa din spate. REF _Ref143162004 h Figura 10
afișează mesajul de avertizare fals, care atrage utilizatorul să activeze macrocomenzi pentru document și conținutul momeală care este afișat ulterior, în timp ce codul rău intenționat rulează în fundal.
Figura 10. Document Microsoft Word cu o macrocomandă rău intenționată care elimină Mango v1.1.1
Instrumente post-compromis
În această secțiune, trecem în revistă o selecție de instrumente post-compromis utilizate în campaniile OilRig Outer Space și Juicy Mix, care vizează descărcarea și executarea de încărcături suplimentare și furtul datelor din sistemele compromise.
Program de descărcare SampleCheck5000 (SC5k).
SampleCheck5000 (sau SC5k) este un program de descărcare folosit pentru a descărca și executa instrumente suplimentare OilRig, remarcat prin utilizarea API-ului Microsoft Office Exchange Web Services pentru comunicarea C&C: atacatorii creează mesaje nefinalizate în acest cont de e-mail și ascund comenzile backdoor acolo. Ulterior, descărcatorul se conectează în același cont și analizează schițele pentru a prelua comenzile și încărcăturile utile de executat.
SC5k folosește valori predefinite – URL Microsoft Exchange, adresa de e-mail și parolă – pentru a se conecta la serverul Exchange la distanță, dar acceptă și opțiunea de a înlocui aceste valori folosind un fișier de configurare în directorul de lucru curent numit setare.cheie. Am ales numele SampleCheck5000 pe baza uneia dintre adresele de e-mail pe care instrumentul le-a folosit în campania Outer Space.
Odată ce SC5k se conectează la serverul Exchange la distanță, preia toate e-mailurile din Schițe
director, le sortează după cele mai recente, păstrând doar schițele care au atașamente. Apoi repetă peste fiecare mesaj nefinalizat cu un atașament, căutând atașamente JSON care conțin "date" in corp. Extrage valoarea din cheie de date în fișierul JSON, base64 decodifică și decriptează valoarea și apelează cmd.exe pentru a executa șirul de linie de comandă rezultat. SC5k salvează apoi rezultatul cmd.exe
execuție la o variabilă locală.
Ca următor pas în buclă, descărcatorul raportează rezultatele operatorilor OilRig creând un nou mesaj de e-mail pe serverul Exchange și salvându-l ca schiță (nu trimite), așa cum se arată în REF _Ref98147102
h * MERGEFORMAT Figura 11
. O tehnică similară este utilizată pentru a exfiltra fișierele dintr-un folder de staging local. Ca ultimul pas în buclă, SC5k înregistrează, de asemenea, ieșirea comenzii într-un format criptat și comprimat pe disc.
Dummpere de date din browser
Este caracteristic operatorilor OilRig să folosească dumperele de date din browser în activitățile lor post-compromis. Am descoperit doi noi furători de date din browser printre instrumentele post-compromis implementate în campania Juicy Mix alături de backdoorul Mango. Ei aruncă datele de browser furate în % TEMP% director în fișierele numite Cupdate
și Eupdate
(de unde și numele noastre pentru ei: CDumper și EDumper).
Ambele instrumente sunt furatoare de date ale browserului C#/.NET, colectând cookie-uri, istoric de navigare și acreditări din browserele Chrome (CDumper) și Edge (EDumper). Ne concentrăm analiza pe CDumper, deoarece ambii furori sunt practic identici, cu excepția unor constante.
Când este executat, CDumper creează o listă de utilizatori cu Google Chrome instalat. La execuție, hoțul se conectează la Chrome SQLite Cookies, Istorie
și Date de conectare baze de date sub %APPDATA%LocalGoogleChromeUser Datași colectează date de browser, inclusiv adrese URL vizitate și autentificări salvate, folosind interogări SQL.
Valorile cookie-urilor sunt apoi decriptate și toate informațiile colectate sunt adăugate la un fișier jurnal numit C: Utilizatori AppDataLocalTempCupdate, în text clar. Această funcționalitate este implementată în funcțiile CDumper numite CookieGrab
(A se vedea REF _Ref126168131 h Figura 12
), HistoryGrab, și PasswordGrab. Rețineți că nu există un mecanism de exfiltrare implementat în CDumper, dar Mango poate exfiltra fișierele selectate printr-o comandă backdoor.
Atât în spațiul cosmic, cât și mai devreme La mare campanie, OilRig a folosit un dumper de date Chrome C/C++ numit MKG. La fel ca CDumper și Edumper, MKG a putut, de asemenea, să fure nume de utilizator și parole, istoricul de navigare și cookie-uri din browser. Acest dumper de date Chrome este de obicei implementat în următoarele locații de fișiere (prima locație fiind cea mai comună):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Credential Manager stealer
Pe lângă instrumentele de descărcare a datelor din browser, OilRig a folosit și un Windows Credential Manager stealer în campania Juicy Mix. Acest instrument fură acreditările din Windows Credential Manager și, similar cu CDumper și EDumper, le stochează în % TEMP% director – de data aceasta într-un fișier numit IUpdate
(de unde și numele IDumper). Spre deosebire de CDumper și Edumper, IDumper este implementat ca script PowerShell.
Ca și în cazul instrumentelor de descărcare a browserului, nu este neobișnuit ca OilRig să colecteze acreditări de la Windows Credential Manager. Anterior, operatorii OilRig au fost observați folosind VALUEVULT, a public, Instrumentul de furt de acreditări compilat Go (vezi Campanie HardPass 2019 și Campania 2020), în același scop.
Concluzie
OilRig continuă să inoveze și să creeze noi implanturi cu capacități asemănătoare ușilor din spate, găsind în același timp noi modalități de a executa comenzi pe sistemele de la distanță. Grupul și-a îmbunătățit backdoorul C#/.NET Solar din campania Outer Space pentru a crea o nouă ușă din spate numită Mango pentru campania Juicy Mix. Grupul implementează un set de instrumente personalizate post-compromis care sunt utilizate pentru a colecta acreditări, cookie-uri și istoric de navigare din browserele majore și din Windows Credential Manager. În ciuda acestor inovații, OilRig continuă de asemenea să se bazeze pe modalități consacrate de a obține date despre utilizatori.
Pentru orice întrebări despre cercetarea noastră publicată pe WeLiveSecurity, vă rugăm să ne contactați la threatintel@eset.com.
ESET Research oferă rapoarte private de informații APT și fluxuri de date. Pentru orice întrebări despre acest serviciu, vizitați ESET Threat Intelligence .
IoC-uri
Fişiere
SHA-1 |
Filename |
Nume de detectare ESET |
Descriere |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Document cu macrocomandă rău intenționată care aruncă Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Picurator VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Ușa din spate solară. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Ușă din spate Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Ușă din spate Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Dumper de date Edge. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Dumper de date Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper Windows Credential Manager. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Dumper de date Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Dumper de date Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Dumper de date Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Descărcător SC5k (versiunea pe 32 de biți). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Descărcător SC5k (versiunea pe 64 de biți). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
Descărcător SC5k (versiunea pe 64 de biți). |
Reţea
IP |
domeniu |
Furnizor de găzduire |
Prima dată văzut |
Detalii |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
- |
Tehnici MITRE ATT&CK
Acest tabel a fost construit folosind Versiunea 13 din cadrul MITRE ATT&CK.
tactică |
ID |
Nume si Prenume |
Descriere |
Dezvoltarea resurselor |
Compromis Infrastructura: Server |
Atât în campaniile Outer Space, cât și în Juicy Mix, OilRig a compromis site-uri web legitime pentru a organiza instrumente rău intenționate și pentru comunicații C&C. |
|
Dezvoltarea capacităților: Malware |
OilRig a dezvoltat uși din spate personalizate (Solar și Mango), un program de descărcare (SC5k) și un set de instrumente de furt de acreditări pentru utilizare în operațiunile sale. |
||
Capabilități de etapă: Încărcați programe malware |
OilRig a încărcat componente rău intenționate pe serverele sale C&C și a stocat fișiere și comenzi prestabilite în Schițe directorul de e-mail al unui cont Office 365 pentru ca SC5k să fie descărcat și executat. |
||
Capabilități de etapă: Instrument de încărcare |
OilRig a încărcat instrumente rău intenționate pe serverele sale C&C și a stocat fișiere prestabilite în Schițe directorul de e-mail al unui cont Office 365 pentru ca SC5k să fie descărcat și executat. |
||
Acces inițial |
Phishing: Atașament de spearphishing |
Probabil că OilRig și-a distribuit campaniile Outer Space și Juicy Mix prin e-mailuri de phishing cu dropper-urile VBS atașate. |
|
Execuție |
Sarcină/Job programat: Sarcină programată |
Instrumentele OilRig IDumper, EDumper și CDumper folosesc sarcini programate numite adică, ed , și cu să se execute în contextul altor utilizatori. Solar și Mango folosesc o sarcină C#/.NET pe un cronometru pentru a-și executa în mod iterativ funcțiile principale. |
|
Interpret de comenzi și scripturi: PowerShell |
Instrumentul IDumper de la OilRig utilizează PowerShell pentru execuție. |
||
Interpret de comandă și scripting: Windows Command Shell |
Utilizarea OilRig Solar, SC5k, IDumper, EDumper și CDumper cmd.exe pentru a executa sarcini pe sistem. |
||
Interpret de comenzi și scripturi: Visual Basic |
OilRig folosește un VBScript rău intenționat pentru a livra și a persista ușile din spate Solar și Mango. |
||
API nativ |
Ușa din spate Mango de la OilRig folosește CreateProcess API Windows pentru execuție. |
||
Persistență |
Sarcină/Job programat: Sarcină programată |
Picuratorul VBS de la OilRig programează o sarcină numită ReminderTask pentru a stabili persistența pentru ușa din spate Mango. |
|
Evaziunea apărării |
Masquerading: potriviți numele sau locația legitimă |
OilRig folosește nume de fișiere legitime sau inofensive pentru malware-ul său pentru a se deghiza de apărători și software de securitate. |
|
Fișiere sau informații ofucate: pachet software |
OilRig a folosit SAPIEN Script Packager și Obfuscator SmartAssembly pentru a-și ofusca instrumentul IDumper. |
||
Fișiere sau informații ofucate: încărcături utile încorporate |
Dropperurile VBS de la OilRig au încărcături utile rău intenționate încorporate în ele ca o serie de subșiruri base64. |
||
Masquerading: Masquerade Sarcină sau serviciu |
Pentru a părea legitim, dropperul VBS de la Mango programează o sarcină cu descrierea Porniți blocnotesul la o anumită oră. |
||
Îndepărtarea indicatorului: persistență clară |
Instrumentele OilRig post-compromis își șterg sarcinile programate după o anumită perioadă de timp. |
||
Deofuscați/Decodificați fișierele sau informațiile |
OilRig folosește mai multe metode de ofuscare pentru a-și proteja șirurile și sarcinile utile încorporate. |
||
Subversează controlul încrederii |
SC5k folosește Office 365, în general o terță parte de încredere și adesea trecută cu vederea de apărători, ca site de descărcare. |
||
Deteriorarea apărărilor |
Ușa din spate Mango de la OilRig are o capacitate (încă) nefolosită de a bloca soluțiile de securitate ale punctelor terminale să își încarce codul în modul utilizator în anumite procese. |
||
Acces la acreditări |
Acreditări din magazinele de parole: acreditări din browsere web |
Instrumentele personalizate OilRig MKG, CDumper și EDumper pot obține acreditări, cookie-uri și istoric de navigare din browserele Chrome și Edge. |
|
Acreditări din magazinele de parole: Windows Credential Manager |
IDumper, instrumentul personalizat de descărcare a acreditărilor de la OilRig, poate fura acreditările din Windows Credential Manager. |
||
Descoperire |
Descoperirea informațiilor de sistem |
Mango obține numele computerului compromis. |
|
Descoperirea fișierelor și a directorului |
Mango are o comandă pentru a enumera conținutul unui director specificat. |
||
Descoperire proprietar/utilizator de sistem |
Mango obține numele de utilizator al victimei. |
||
Descoperirea contului: cont local |
Instrumentele OilRig EDumper, CDumper și IDumper pot enumera toate conturile de utilizator de pe gazda compromisă. |
||
Descoperirea informațiilor din browser |
MKG aruncă istoricul Chrome și marcajele. |
||
Comandă și Control |
Protocolul stratului de aplicație: protocoale web |
Mango folosește HTTP în comunicațiile C&C. |
|
Transfer de instrumente de intrare |
Mango are capacitatea de a descărca fișiere suplimentare de pe serverul C&C pentru execuția ulterioară. |
||
Ofucarea datelor |
Solar și SC5k folosesc o metodă simplă de criptare XOR împreună cu compresia gzip pentru a ofusca datele în repaus și în tranzit. |
||
Serviciu web: Comunicare bidirecțională |
SC5k folosește Office 365 pentru a descărca fișiere și pentru a încărca fișiere în Schițe director într-un cont de e-mail legitim. |
||
Codificarea datelor: codificare standard |
Solar, Mango și MKG base64 decodifică datele înainte de a le trimite către serverul C&C. |
||
Canal criptat: Criptografie simetrică |
Mango folosește un cifr XOR cu cheia Întrebări și 4g pentru a cripta datele în comunicarea C&C. |
||
Canal criptat: Criptografie asimetrică |
Mango folosește TLS pentru comunicarea C&C. |
||
Exfiltrarea |
Exfiltrare peste canalul C2 |
Mango, Solar și SC5k își folosesc canalele C&C pentru exfiltrare. |
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Capabil
- Despre Noi
- mai sus
- Cont
- Conturi
- Acțiune
- activ
- activ
- activităţi de
- actori
- adăugat
- plus
- Suplimentar
- În plus,
- adresa
- adrese
- Adaugă
- După
- după aceea
- împotriva
- Agent
- vizează
- TOATE
- permis
- SUFLET
- de-a lungul
- pe langa
- Alfabet
- de asemenea
- printre
- an
- analiză
- analizate
- și
- O alta
- Orice
- api
- API-uri
- apărea
- apare
- aplicat
- APT
- arab
- Emiratele Arabe Unite
- arhivă
- SUNT
- argumente
- Mulțime
- AS
- asamblate
- Asamblare
- astronomie
- At
- Atacuri
- Automata
- în mod automat
- ușă din dos
- Backdoors
- fundal
- bazat
- de bază
- BE
- fost
- înainte
- început
- în spatele
- fiind
- de mai jos
- in afara de asta
- între
- Bloca
- corp
- marcajele
- atât
- browser-ul
- browsere
- Navigare
- construit
- afaceri
- dar
- by
- apel
- denumit
- apeluri
- Campanie
- Campanii
- CAN
- capacități
- capacitate
- transportate
- caz
- sigur
- Schimbare
- si-a schimbat hainele;
- Modificări
- Canal
- canale
- caracteristică
- caractere
- chimic
- alegere
- a ales
- Chrome
- cifru
- clar
- cod
- colecta
- Colectare
- COM
- combinate
- Comun
- în mod obișnuit
- comunica
- Comunicare
- Comunicații
- Compania
- componente
- compromis
- compromis
- calculator
- Configuraţie
- confirmare
- Conectați
- Connects
- contactați-ne
- conţine
- conţinut
- context
- a continuat
- continuă
- convertit
- fursecuri
- ar putea
- crea
- creează
- Crearea
- creaţie
- CREDENTIALĂ
- scrisori de acreditare
- Curent
- personalizat
- de date
- baze de date
- decriptaţi
- apărătorii
- livra
- implementa
- dislocate
- Implementarea
- implementează
- Derivat
- descris
- descriere
- În ciuda
- detaliat
- detectat
- Detectare
- dezvoltat
- diferit
- a descoperit
- descoperire
- afișat
- distribuite
- diviziunilor
- document
- face
- Descarca
- download-uri
- proiect
- Picătură
- scăzut
- scăparea
- Picături
- descărca
- fiecare
- Mai devreme
- Est
- de est
- Margine
- oricare
- e-mailuri
- încorporat
- emiratele
- angajat
- permite
- criptate
- criptare
- Punct final
- Securitatea punctului final
- energie
- ispititor
- spionaj
- stabili
- stabilit
- evaziune
- Fiecare
- exemplu
- schimb
- exclusiv
- a executa
- executat
- Executa
- executând
- execuție
- exfiltrațiile
- extracte
- fals
- Fișier
- Fişiere
- În cele din urmă
- financiar
- descoperire
- constatările
- First
- montaj
- debit
- Concentra
- se concentrează
- următor
- urmează
- Pentru
- format
- găsit
- Cadru
- din
- de la 2021
- funcţie
- funcționalități
- funcționalitate
- funcții
- mai mult
- viitor
- culegere
- în general
- generată
- generează
- Caritate
- scop
- Google Chrome
- Guvern
- guvernele
- grup
- Grupului
- Mânere
- hașiș
- Avea
- de asistență medicală
- prin urmare
- aici
- HEX
- Ascunde
- istorie
- cârlige
- gazdă
- Cum
- HTML
- http
- HTTPS
- uman
- Resurse Umane
- ID
- identic
- identificator
- if
- imagine
- implementat
- ustensile
- îmbunătățit
- in
- include
- Inclusiv
- într-adevăr
- info
- informații
- Infrastructură
- inițială
- inova
- inovații
- Cereri
- instalat
- in schimb
- instrucțiuni
- Inteligență
- intern
- în
- introdus
- Iran
- Israel
- IT
- ESTE
- în sine
- Loc de munca
- JSON
- iulie
- doar
- păstrare
- Cheie
- cunoscut
- Nume
- a lansat
- strat
- cel mai puțin
- Liban
- stânga
- legitim
- ca
- Probabil
- Linie
- LINK
- Listă
- listat
- listare
- liste
- încărcare
- local
- locaţie
- Locații
- log
- Lung
- cautati
- maşină
- Macro
- macro-uri
- Principal
- major
- malware
- manager
- Marlin
- mascaradă
- Meci
- MD5
- mecanism
- Memorie
- menționat
- mesaj
- mesaje
- Metadata
- metodă
- Metode
- Microsoft
- De mijloc
- Orientul Mijlociu
- MILAN
- milisecunde
- minute
- amesteca
- mod
- În plus
- cele mai multe
- Mai ales
- mişcă
- multiplu
- nume
- Numit
- și anume
- nume
- denumire
- național
- nativ
- net
- cu toate acestea
- Nou
- următor
- nist
- Nu.
- notabil
- în special
- număr
- numere
- obține
- obține
- a avut loc
- of
- promoții
- Birou
- de multe ori
- on
- ONE
- afară
- Operațiuni
- Operatorii
- Opțiune
- or
- comandă
- organizație
- organizații
- Altele
- al nostru
- afară
- spaţiu exterior
- producție
- peste
- trece peste
- Prezentare generală
- pagină
- parametru
- parametrii
- parte
- Parolă
- Parolele
- cale
- efectuarea
- perioadă
- persistență
- Phishing
- Plato
- Informații despre date Platon
- PlatoData
- "vă rog"
- Punct
- puncte
- Portal
- poziţie
- eventual
- Post
- PowerShell
- practic
- predecesor
- precedent
- în prealabil
- primar
- privat
- probabil
- proces
- Procesat
- procese
- Produs
- proteja
- protocol
- furniza
- publicat
- scop
- interogări
- aleator
- mai degraba
- Citind
- primit
- recent
- Inregistreaza-te
- legate de
- se bazează
- la distanta
- îndepărtare
- îndepărtat
- înlocuiește
- raportează
- Rapoarte
- solicita
- cercetare
- cercetători
- Resurse
- respectiv
- răspuns
- responsabil
- REST
- rezultând
- REZULTATE
- reveni
- revizuiască
- instalație
- Alerga
- funcţionare
- s
- acelaşi
- Economisiți
- salvate
- economisire
- văzut
- programa
- programată
- schemă
- scheme
- scenariu
- SEA
- Al doilea
- secunde
- Secțiune
- sectoare
- securitate
- vedea
- văzut
- selectate
- selecţie
- trimitere
- trimite
- trimis
- serie
- servi
- serverul
- Servere
- serviciu
- Servicii
- set
- câteva
- Rechin
- Coajă
- indicat
- Emisiuni
- asemănător
- asemănări
- simplu
- întrucât
- teren
- mic
- So
- Software
- solar
- soluţii
- unele
- Spaţiu
- specific
- specificată
- răspândire
- stivuire
- Etapă
- înscenare
- standard
- începe
- fură
- Pas
- paşi
- furate
- Stop
- stocate
- magazine
- Şir
- ulterior
- Ulterior
- astfel de
- Sprijină
- comutate
- simbol
- sistem
- sisteme
- tabel
- luate
- ia
- Ţintă
- vizate
- direcționare
- obiective
- Sarcină
- sarcini
- Tehnic
- Analiza Tehnica
- de telecomunicaţii
- decât
- acea
- lor
- Lor
- se
- apoi
- Acolo.
- Acestea
- ei
- lucruri
- Al treilea
- acest
- amenințare
- actori amenințători
- Raportul de amenințare
- de-a lungul
- Prin urmare
- contracara
- Legături
- timp
- Titlu
- la
- instrument
- Unelte
- top
- tranzit
- de transport
- Încredere
- de încredere
- Două
- tip
- tipic
- tipic
- neobișnuit
- în
- Unit
- Arabe unite
- Emiratele Arabe Unite
- spre deosebire de
- nefolosit
- actualizat
- încărcat
- Se încarcă
- pe
- URL-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizatorii
- utilizări
- folosind
- v1
- valoare
- Valori
- variabil
- varietate
- diverse
- versiune
- informații despre versiune
- Versiunile
- verticalele
- foarte
- de
- Victimă
- victime
- Vizita
- vizitat
- de avertizare
- a fost
- modalități de
- we
- web
- server de web
- servicii web
- website
- site-uri web
- BINE
- au fost
- care
- în timp ce
- întreg
- lățime
- voi
- ferestre
- cu
- în
- Cuvânt
- flux de lucru
- de lucru
- scris
- scris
- da
- încă
- zephyrnet