Исследователи ESET проанализировали две кампании группы OilRig APT: Outer Space (2021 г.) и Juicy Mix (2022 г.). Обе эти кампании кибершпионажа были нацелены исключительно на израильские организации, что соответствует ориентации группы на Ближний Восток, и использовали одну и ту же схему: OilRig сначала взломала законный веб-сайт, чтобы использовать его в качестве командного сервера, а затем использовала дропперы VBS для доставки C#. /.NET для своих жертв, а также развертывает различные инструменты после компрометации, которые в основном используются для кражи данных в целевых системах.
В своей кампании Outer Space компания OilRig использовала простой, ранее недокументированный бэкдор C#/.NET, который мы назвали Solar, а также новый загрузчик SampleCheck5000 (или SC5k), который использует API веб-служб Microsoft Office Exchange для связи с командным сервером. В рамках кампании Juicy Mix злоумышленники усовершенствовали Solar и создали бэкдор Mango, обладающий дополнительными возможностями и методами запутывания. Помимо обнаружения вредоносного набора инструментов, мы также уведомили израильский CERT о взломанных веб-сайтах.
Ключевые моменты этого поста:
- ESET наблюдала за двумя кампаниями OilRig, которые проводились в 2021 году (Космос) и 2022 году (Juicy Mix).
- Операторы атаковали исключительно израильские организации и взломали законные израильские веб-сайты для использования в своих командных коммуникациях.
- В каждой кампании они использовали новый, ранее недокументированный бэкдор C#/.NET первой стадии: Solar in Outer Space, затем его преемника Mango в Juicy Mix.
- Оба бэкдора были развернуты дропперами VBS, предположительно распространявшимися через фишинговые электронные письма.
- В обеих кампаниях были развернуты различные инструменты после компрометации, в частности, загрузчик SC5k, который использует API веб-служб Microsoft Office Exchange для связи с командным центром, а также несколько инструментов для кражи данных браузера и учетных данных из Windows Credential Manager.
OilRig, также известная как APT34, Lyceum или Siamesekitten, представляет собой группу кибершпионажа, действующую как минимум с 2014 года и обычно полагают будет базироваться в Иране. Группа нацелена на правительства Ближнего Востока и различные бизнес-отрасли, включая химическую, энергетическую, финансовую и телекоммуникационную. OilRig провела кампанию DNSpionage в 2018 и 2019, направленный против жертв в Ливане и Объединенных Арабских Эмиратах. В 2019 и 2020 годах OilRig продолжила атаки с использованием ХардПасс кампания, которая использовала LinkedIn для нападения на жертв на Ближнем Востоке в энергетическом и государственном секторах. В 2021 году OilRig обновила свою ДэнБот бэкдор и начал развертывание Шарк, Милани бэкдоры Marlin, упомянутые в Т3 2021 выпуск отчета об угрозах ESET.
В этом блоге мы предоставляем технический анализ бэкдоров Solar и Mango, дроппера VBS, используемого для доставки Mango, а также инструментов пост-компрометации, используемых в каждой кампании.
приписывание
Первоначальной ссылкой, которая позволила нам связать кампанию Outer Space с OilRig, является использование того же дампера данных Chrome (отслеживаемого исследователями ESET под названием MKG), что и в Кампания «Выход в море». Мы наблюдали, как бэкдор Solar развернул в системе цели тот же образец MKG, что и в Out to Sea, вместе с двумя другими вариантами.
Помимо совпадения инструментов и таргетинга, мы также увидели множество сходств между бэкдором Solar и бэкдорами, используемыми в Out to Sea, в основном связанными с загрузкой и выгрузкой: и Solar, и Shark, еще один бэкдор OilRig, используют URI с простыми схемами загрузки и скачивания. для связи с C&C-сервером, с помощью «d» для загрузки и «u» для загрузки; Кроме того, загрузчик SC5k использует подкаталоги для загрузки и скачивания, как и другие бэкдоры OilRig, а именно ALMA, Shark, DanBot и Milan. Эти результаты служат еще одним подтверждением того, что виновником космического пространства действительно является OilRig.
Что касается связей кампании Juicy Mix с OilRig, помимо нападения на израильские организации, что типично для этой шпионской группы, существует сходство кода между Mango, бэкдором, использованным в этой кампании, и Solar. Более того, оба бэкдора были развернуты дропперами VBS с использованием одной и той же техники обфускации строк. Выбор инструментов после компрометации, использованных в Juicy Mix, также отражает предыдущие кампании OilRig.
Обзор кампании в космосе
Название Outer Space, названное в честь использования схемы именования, основанной на астрономии, в названиях функций и задач, представляет собой кампанию OilRig, проводимую в 2021 году. В ходе этой кампании группа взломала израильский сайт отдела кадров и впоследствии использовала его в качестве командного сервера для своих ранее недокументированный бэкдор C#/.NET, Solar. Solar — это простой бэкдор с базовыми функциями, такими как чтение и запись с диска, а также сбор информации.
Затем через Solar группа развернула новый загрузчик SC5k, который использует API веб-служб Office Exchange для загрузки дополнительных инструментов для выполнения, как показано на рис. REF _Ref142655526 ч фигура 1
. Чтобы извлечь данные браузера из системы жертвы, OilRig использовала дамп данных Chrome под названием MKG.
Обзор кампании Juicy Mix
В 2022 году OilRig запустила еще одну кампанию против израильских организаций, на этот раз с обновленным набором инструментов. Мы назвали кампанию Juicy Mix из-за использования нового бэкдора OilRig — Mango (на основе имени внутренней сборки и имени файла — Манго.exe). В ходе этой кампании злоумышленники взломали законный израильский веб-сайт портала вакансий для использования в коммуникациях с командным центром. Затем вредоносные инструменты группы были применены против медицинской организации, также базирующейся в Израиле.
Бэкдор первой стадии Mango является преемником Solar, также написанным на C#/.NET, с заметными изменениями, включающими возможности эксфильтрации, использование собственных API-интерфейсов и добавленный код уклонения от обнаружения.
Наряду с Mango мы также обнаружили два ранее недокументированных дампера данных браузера, которые использовались для кражи файлов cookie, истории просмотров и учетных данных из браузеров Chrome и Edge, а также похититель Windows Credential Manager, все из которых мы приписываем OilRig. Все эти инструменты использовались против той же цели, что и Mango, а также против других скомпрометированных израильских организаций в течение 2021 и 2022 годов. REF _Ref125475515 ч фигура 2
показывает обзор того, как различные компоненты использовались в кампании Juicy Mix.
Технический анализ
В этом разделе мы предоставляем технический анализ бэкдоров Solar и Mango и загрузчика SC5k, а также других инструментов, которые были развернуты в целевых системах в ходе этих кампаний.
Капельницы ВБС
Чтобы закрепиться в целевой системе, в обеих кампаниях использовались дропперы Visual Basic Script (VBS), которые, скорее всего, распространялись посредством фишинговых электронных писем. Наш анализ, приведенный ниже, посвящен сценарию VBS, используемому для удаления Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); обратите внимание, что дроппер Solar очень похож.
Цель дроппера — доставить встроенный бэкдор Mango, запланировать задачу на сохранение и зарегистрировать компрометацию на C&C-сервере. Встроенный бэкдор хранится в виде серии подстрок base64, которые объединяются и декодируются в base64. Как показано в REF _Ref125477632 ч фигура 3
, скрипт также использует простую технику деобфускации строк, при которой строки собираются с помощью арифметических операций и Chr функции.
Кроме того, дроппер Mango VBS добавляет еще один тип обфускации строк и код для настройки постоянства и регистрации на C&C-сервере. Как показано в REF _Ref125479004 ч * ОБЪЕДИНЕНИЕФОРМАТ фигура 4
, чтобы деобфусцировать некоторые строки, скрипт заменяет любые символы в наборе #*+-_)(}{@$%^& 0, затем делит строку на трехзначные числа, которые затем преобразуются в символы ASCII с помощью Chr
функция. Например, строка 116110101109117+99111$68+77{79$68}46-50108109120115}77 переводит на Msxml2.DOMДокумент.
Как только бэкдор внедряется в систему, дроппер переходит к созданию запланированной задачи, которая запускает Mango (или Solar в другой версии) каждые 14 минут. Наконец, сценарий отправляет имя взломанного компьютера в кодировке Base64 через POST-запрос для регистрации бэкдора на его C&C-сервере.
Солнечный бэкдор
Solar — это бэкдор, используемый OilRig в кампании Outer Space. Обладая базовыми функциями, этот бэкдор может использоваться, среди прочего, для загрузки и выполнения файлов, а также для автоматического извлечения промежуточных файлов.
Мы выбрали имя Solar на основе имени файла, используемого OilRig. Солар.exe. Это подходящее имя, поскольку бэкдор использует астрономическую схему именования для имен своих функций и задач, используемых в двоичном файле (ртутный, Venus, март, Земляи Юпитер).
Solar начинает выполнение с выполнения шагов, показанных на рис. REF _Ref98146919 ч * ОБЪЕДИНЕНИЕФОРМАТ фигура 5
.
Бэкдор создает две задачи: Земля
и Venus, который работает в памяти. Ни для одной из двух задач нет функции остановки, поэтому они будут выполняться бесконечно. Земля
планируется запускать каждые 30 секунд и Venus
настроен на запуск каждые 40 секунд.
Земля — это основная задача, отвечающая за большую часть функций Solar. Он взаимодействует с C&C-сервером с помощью функции МеркурийToСолнце, который отправляет базовую информацию о системе и версии вредоносного ПО на C&C-сервер, а затем обрабатывает ответ сервера. Земля отправляет следующую информацию на C&C-сервер:
- Строка (@); вся строка зашифрована.
- Строка 1.0.0.0, зашифрованный (возможно, номер версии).
- Строка 30000, зашифрованное (возможно, запланированное время выполнения Земля
Шифрование и дешифрование реализованы в функциях с именами ЮпитерЭ
и ЮпитерД, соответственно. Оба они вызывают функцию с именем ЮпитерX, который реализует цикл XOR, как показано на рисунке REF _Ref98146962 ч фигура 6
.
Ключ получается из жестко закодированной глобальной строковой переменной, 6sEj7*0B7#7И нунций: в данном случае это случайная шестнадцатеричная строка длиной от 2 до 24 символов. После шифрования XOR применяется стандартная кодировка base64.
В качестве C&C-сервера использовался веб-сервер израильской кадровой компании, который OilRig в какой-то момент скомпрометировала перед развертыванием Solar:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Перед добавлением к URI одноразовый код шифрования шифруется, а значение начальной строки запроса rt, установлен на d здесь, скорее всего, для «скачать».
Последний шаг МеркурийToСолнце
Функция — обработка ответа C&C-сервера. Это делается путем получения подстроки ответа, которая находится между символами QQ@ и @кк. Этот ответ представляет собой строку инструкций, разделенных звездочками (*), который преобразуется в массив. Земля
затем выполняет команды бэкдора, которые включают загрузку дополнительных полезных данных с сервера, получение списка файлов в системе жертвы и запуск определенных исполняемых файлов.
Вывод команды затем сжимается gzip с использованием функции Neptune
и зашифрован тем же ключом шифрования и новым одноразовым номером. Затем результаты загружаются на C&C-сервер, таким образом:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
МашинГид и новый одноразовый номер зашифрованы с помощью ЮпитерЭ
функция, и здесь значение rt на u, скорее всего, для «загрузки».
Venus, другая запланированная задача, используется для автоматической фильтрации данных. Эта небольшая задача копирует содержимое файлов из каталога (также называемого Venus) на командный сервер. Эти файлы, вероятно, перенесены сюда каким-то другим, пока неопознанным инструментом OilRig. После загрузки файла задача удаляет его с диска.
Манго-бэкдор
Для своей кампании Juicy Mix компания OilRig перешла с бэкдора Solar на Mango. Он имеет схожий с Solar рабочий процесс и перекрывающиеся возможности, но, тем не менее, есть несколько заметных изменений:
- Использование TLS для связи C&C.
- Использование собственных API вместо API .NET для выполнения файлов и команд оболочки.
- Хотя он и не использовался активно, но был введен код уклонения от обнаружения.
- Поддержка автоматической эксфильтрации (Venus
- Поддержка режима журнала была удалена, а имена символов были запутаны.
В отличие от схемы именования Solar, посвященной астрономии, Mango запутывает названия своих символов, как это видно на REF _Ref142592880 ч фигура 7
.
Помимо обфускации имени символа, Mango также использует метод укладки строк (как показано на рис. REF _Ref142592892 ч фигура 8
REF _Ref141802299 ч
) для запутывания строк, что усложняет использование простых методов обнаружения.
Как и в случае с Solar, бэкдор Mango начинается с создания задачи в памяти, запуск которой запланирован на неопределенный срок каждые 32 секунды. Эта задача взаимодействует с C&C-сервером и выполняет бэкдор-команды, аналогичные задачам Solar. Земля
задача. Хотя Solar также создает Venus, задача для автоматической эксфильтрации, эта функциональность была заменена в Mango новой командой бэкдора.
В основной задаче Mango сначала генерирует идентификатор жертвы, , для использования в C&C-коммуникациях. Идентификатор вычисляется как хэш MD5 , отформатированный как шестнадцатеричная строка.
Чтобы запросить бэкдор-команду, Mango отправляет строку д@ @ | на командный сервер http://www.darush.co[.]il/ads.asp – законный израильский портал вакансий, вероятно, взломанный OilRig перед этой кампанией. Мы уведомили израильскую национальную организацию CERT о компромиссе.
Тело запроса строится следующим образом:
- Передаваемые данные зашифрованы XOR с использованием ключа шифрования. Q&4g, затем в кодировке Base64.
- Из этого алфавита генерируется псевдослучайная строка из 3–14 символов (как это показано в коде): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Зашифрованные данные вставляются в псевдослучайную позицию внутри сгенерированной строки, заключенной между [@ и @] разделители.
Для связи со своим командным сервером Mango использует протокол TLS (Transport Layer Security), который обеспечивает дополнительный уровень шифрования..
Аналогично, команда бэкдора, полученная от C&C-сервера, шифруется XOR, кодируется в формате Base64, а затем помещается между [@ и @] в теле ответа HTTP. Сама команда либо НКНТ
(в этом случае никаких действий не предпринимается) или строка из нескольких параметров, разделенных знаком
@, как подробно описано в REF _Ref125491491 ч Настольные 1
, в котором перечислены бэкдор-команды Mango. Обратите внимание, что в таблице не указан, но используется в ответе командному серверу.
Таблица 1. Список бэкдор-команд Mango
Арг1 |
Арг2 |
Арг3 |
Действие предпринято |
Возвращаемое значение |
|
1 или пустая строка |
+сп |
Нет |
Выполняет указанную команду файла/оболочки (с необязательными аргументами), используя собственный CreateProcess API, импортированный через Дллимпорт. Если аргументы содержат [С]заменяется C: WindowsSystem32. |
Вывод команды. |
|
+ню |
Нет |
Возвращает строку версии вредоносного ПО и URL-адрес C&C. |
|; в таком случае: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+ фл |
Нет |
Перечисляет содержимое указанного каталога (или текущего рабочего каталога). |
Справочник Для каждого подкаталога:
Для каждого файла: ФАЙЛ Режиссер(ы) Файл(ы) |
||
+DN |
Нет |
Загружает содержимое файла на C&C-сервер с помощью нового HTTP-запроса POST в формате: ты@ @ | @ @2@. |
Один из: · файл[ ] загружается на сервер. · файл не найден! · путь к файлу пустой! |
||
2 |
Данные в кодировке Base64 |
Имя файла |
Сбрасывает указанные данные в файл в рабочем каталоге. |
файл загружен по пути[ ] |
Каждая бэкдор-команда обрабатывается в новом потоке, а возвращаемые значения затем кодируются в формате Base64 и объединяются с другими метаданными. Наконец, эта строка отправляется на C&C-сервер с использованием того же протокола и метода шифрования, которые описаны выше.
Неиспользованный метод уклонения от обнаружения
Интересно, мы нашли неиспользованный метод уклонения от обнаружения внутри Манго. Функция, отвечающая за выполнение файлов и команд, загруженных с командного сервера, принимает необязательный второй параметр — идентификатор процесса. Если установлено, Mango использует Атрибуте UpdateProcThreadAttribute
API для установки PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) атрибут для указанного процесса для значения: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), как показано в REF _Ref125480118 ч фигура 9
.
Цель этого метода — запретить решениям по обеспечению безопасности конечных точек загружать в этом процессе перехватчики кода пользовательского режима через DLL. Хотя этот параметр не использовался в анализируемом нами образце, его можно активировать в будущих версиях.
Версия 1.1.1
Не связанный с кампанией Juicy Mix, в июле 2023 года мы обнаружили новую версию бэкдора Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), загруженный на VirusTotal несколькими пользователями под именем Менора.exe. Внутренняя версия в этом примере была изменена с 1.0.0 на 1.1.1, но единственным заметным изменением является использование другого C&C-сервера. http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Наряду с этой версией мы также обнаружили документ Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) с помощью вредоносного макроса, который удаляет бэкдор. REF _Ref143162004 ч фигура 10
показывает поддельное предупреждающее сообщение, побуждающее пользователя включить макросы для документа, а также ложный контент, который отображается после этого, пока вредоносный код выполняется в фоновом режиме.
Рисунок 10. Документ Microsoft Word с вредоносным макросом, который удаляет Mango v1.1.1.
Инструменты после компрометации
В этом разделе мы рассмотрим набор инструментов после компрометации, используемых в кампаниях OilRig Outer Space и Juicy Mix, направленных на загрузку и выполнение дополнительных полезных нагрузок, а также кражу данных из скомпрометированных систем.
Загрузчик SampleCheck5000 (SC5k)
SampleCheck5000 (или SC5k) — это загрузчик, используемый для загрузки и запуска дополнительных инструментов OilRig, отличающийся использованием API веб-служб Microsoft Office Exchange для связи с командным центром: злоумышленники создают черновики сообщений в этой учетной записи электронной почты и скрывают там бэкдор-команды. Впоследствии загрузчик входит в ту же учетную запись и анализирует черновики, чтобы получить команды и полезные данные для выполнения.
SC5k использует предопределенные значения — URL-адрес Microsoft Exchange, адрес электронной почты и пароль — для входа на удаленный сервер Exchange, но также поддерживает возможность переопределить эти значения с помощью файла конфигурации в текущем рабочем каталоге с именем настройка.ключ. Мы выбрали имя SampleCheck5000 на основе одного из адресов электронной почты, который инструмент использовал в кампании Outer Space.
Как только SC5k входит в систему на удаленном сервере Exchange, он получает все электронные письма на Шашки
каталоге, сортирует их по последним, сохраняя только черновики с вложениями. Затем он перебирает каждый черновик сообщения с вложением в поисках вложений JSON, содержащих "данные" в организме. Он извлекает значение из ключа данным в файле JSON base64 декодирует и расшифровывает значение и вызывает cmd.exe для выполнения полученной строки командной строки. SC5k затем сохраняет выходные данные cmd.exe
выполнение в локальную переменную.
На следующем этапе цикла загрузчик сообщает результаты операторам OilRig, создавая новое сообщение электронной почты на сервере Exchange и сохраняя его как черновик (не отправляя), как показано на рисунке. ССЫЛКА _Ref98147102
h * ОБЪЕДИНЕНИЕФОРМАТ фигура 11
. Аналогичный метод используется для извлечения файлов из локальной промежуточной папки. На последнем этапе цикла SC5k также записывает выходные данные команды в зашифрованном и сжатом формате на диск.
Дамперы данных браузера
Для операторов OilRig характерно использование дамперов данных браузера в своей деятельности после компрометации. Мы обнаружили два новых инструмента для кражи данных браузера среди инструментов после компрометации, использованных в кампании Juicy Mix вместе с бэкдором Mango. Они сбрасывают украденные данные браузера в % TEMP% каталог на файлы с именем Свидание
и Обновление
(отсюда и наши названия: CDumper и EDumper).
Оба инструмента похищают данные браузера C#/.NET, собирая файлы cookie, историю просмотров и учетные данные из браузеров Chrome (CDumper) и Edge (EDumper). Мы сосредоточим наш анализ на CDumper, поскольку оба стилера практически идентичны, за исключением некоторых констант.
При запуске CDumper создает список пользователей с установленным Google Chrome. При выполнении вор подключается к Chrome SQLite. Cookie, История
и Данные для входа базы данных под %APPDATA%LocalGoogleChromeПользовательские данныеи собирает данные браузера, включая посещенные URL-адреса и сохраненные логины, с помощью запросов SQL.
Затем значения файлов cookie расшифровываются, и вся собранная информация добавляется в файл журнала с именем C:Пользователи AppDataLocalTempCupdate, в открытом виде. Эта функциональность реализована в функциях CDumper с именем CookieGrab
(См. REF _Ref126168131 ч фигура 12
), ИсторияGrab, и Захват пароля. Обратите внимание, что в CDumper не реализован механизм фильтрации, но Mango может удалять выбранные файлы с помощью бэкдор-команды.
Как в космическом пространстве, так и ранее В море В ходе кампании OilRig использовала дамп данных Chrome на C/C++ под названием MKG. Как и CDumper и EDumper, MKG также смог украсть имена пользователей и пароли, историю просмотров и файлы cookie из браузера. Этот дампер данных Chrome обычно развертывается в следующих местах файлов (первое расположение является наиболее распространенным):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Похититель диспетчера учетных данных Windows
Помимо инструментов для дампа данных браузера, OilRig также использовала похититель учетных данных Windows в кампании Juicy Mix. Этот инструмент крадет учетные данные из диспетчера учетных данных Windows и, как и CDumper и EDumper, сохраняет их в % TEMP% каталог – на этот раз в файл с именем IОбновление
(отсюда и название IDumper). В отличие от CDumper и EDumper, IDumper реализован в виде сценария PowerShell.
Как и в случае с инструментами дампера браузера, OilRig нередко собирает учетные данные из диспетчера учетных данных Windows. Ранее операторы OilRig были замечены с помощью VALUEVAULT, общедоступной, Скомпилированный на Go инструмент для кражи учетных данных (см. Кампания HardPass 2019 г. и еще один 2020 кампания), с той же целью.
Заключение
OilRig продолжает внедрять инновации и создавать новые имплантаты с возможностями, подобными бэкдорам, одновременно находя новые способы выполнения команд на удаленных системах. Группа усовершенствовала свой бэкдор C#/.NET Solar из кампании Outer Space и создала новый бэкдор под названием Mango для кампании Juicy Mix. Группа развертывает набор пользовательских инструментов после компрометации, которые используются для сбора учетных данных, файлов cookie и истории просмотров из основных браузеров и из диспетчера учетных данных Windows. Несмотря на эти нововведения, OilRig также продолжает полагаться на устоявшиеся способы получения пользовательских данных.
По любым вопросам о наших исследованиях, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу угрозаintel@eset.com.
ESET Research предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.
МНК
Файлы
SHA-1 |
Имя файла |
Имя обнаружения ESET |
Описание |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Документ с вредоносным макросом, удаляющим Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Капельница VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Солар.exe |
MSIL/OilRig.E |
Солнечная задняя дверь. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Манго.exe |
MSIL/OilRig.E |
Бэкдор Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Менора.exe |
MSIL/OilRig.E |
Бэкдор Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Дамп данных Edge. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Дамп данных Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Дамп диспетчера учетных данных Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Агент.AW |
MKG — дамп данных Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Агент.AW |
MKG — дамп данных Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Агент.AW |
MKG — дамп данных Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Загрузчик SC5k (32-битная версия). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Загрузчик SC5k (64-битная версия). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
Загрузчик SC5k (64-битная версия). |
Cеть
IP |
Домен |
Хостинг провайдер |
Впервые увидели |
Подробнее |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
МаркизНет |
2022-07-29 |
Нет |
Техники MITER ATT & CK
Эта таблица была построена с использованием версия 13 каркаса MITER ATT & CK.
тактика |
ID |
Имя |
Описание |
Развитие ресурсов |
Взлом инфраструктуры: сервер |
В кампаниях Outer Space и Juicy Mix OilRig взломала законные веб-сайты для размещения вредоносных инструментов и связи с командным центром. |
|
Возможности развития: вредоносное ПО |
OilRig разработала специальные бэкдоры (Solar и Mango), загрузчик (SC5k) и набор инструментов для кражи учетных данных для использования в своих операциях. |
||
Возможности этапа: загрузка вредоносного ПО |
OilRig загрузила вредоносные компоненты на свои командные серверы и сохранила предварительно подготовленные файлы и команды в Шашки каталог электронной почты учетной записи Office 365 для загрузки и выполнения SC5k. |
||
Возможности этапа: инструмент загрузки |
OilRig загрузила вредоносные инструменты на свои командные серверы и сохранила предварительно подготовленные файлы в Шашки каталог электронной почты учетной записи Office 365 для загрузки и выполнения SC5k. |
||
Первоначальный доступ |
Фишинг: Целевое фишинговое вложение |
OilRig, вероятно, распространяла свои кампании Outer Space и Juicy Mix через фишинговые электронные письма с прикрепленными к ним VBS-дропперами. |
|
Типы |
Запланированная задача/задание: Запланированная задача |
Инструменты IDumper, EDumper и CDumper компании OilRig используют запланированные задачи с именами т.е., Эд , и у.е. выполнять себя в контексте других пользователей. Solar и Mango используют задачу C#/.NET по таймеру для итеративного выполнения своих основных функций. |
|
Интерпретатор команд и сценариев: PowerShell |
Инструмент IDumper компании OilRig использует для выполнения PowerShell. |
||
Интерпретатор команд и сценариев: командная оболочка Windows |
Использование Solar, SC5k, IDumper, EDumper и CDumper компании OilRig cmd.exe для выполнения задач в системе. |
||
Интерпретатор команд и сценариев: Visual Basic |
OilRig использует вредоносный VBScript для доставки и сохранения своих бэкдоров Solar и Mango. |
||
Родной API |
Бэкдор Mango компании OilRig использует CreateProcess Windows API для выполнения. |
||
Настойчивость |
Запланированная задача/задание: Запланированная задача |
Дроппер VBS OilRig планирует задачу с именем НапоминаниеЗадача чтобы обеспечить устойчивость бэкдора Mango. |
|
Уклонение от защиты |
Маскарадинг: Соответствие законному имени или местоположению |
OilRig использует законные или безобидные имена файлов для своих вредоносных программ, чтобы замаскироваться от защитников и защитного программного обеспечения. |
|
Замаскированные файлы или информация: упаковка программного обеспечения |
OilRig использовала Упаковщик сценариев SAPIEN и Обфускатор SmartAssembly чтобы запутать свой инструмент IDumper. |
||
Замаскированные файлы или информация: встроенные полезные нагрузки |
Дропперы VBS компании OilRig содержат вредоносные полезные данные, встроенные в них в виде серии подстрок base64. |
||
Маскарадинг: маскарадная задача или служба |
Чтобы выглядеть законным, VBS-дроппер Mango планирует задачу с описанием Запустить блокнот в определенное время. |
||
Удаление индикатора: очистить постоянство |
Инструменты OilRig после компрометации удаляют запланированные задачи через определенный период времени. |
||
Деобфускация/декодирование файлов или информации |
OilRig использует несколько методов запутывания для защиты своих строк и встроенных полезных данных. |
||
Подрыв контроля доверия |
SC5k использует в качестве сайта загрузки Office 365, который обычно является доверенной третьей стороной и которую защитники часто упускают из виду. |
||
Ослабить защиту |
Бэкдор Mango от OilRig имеет (пока) неиспользуемую возможность блокировать загрузку кода пользовательского режима решениями по обеспечению безопасности конечных точек в определенных процессах. |
||
Доступ к учетным данным |
Учетные данные из хранилищ паролей: Учетные данные из веб-браузеров |
Специальные инструменты OilRig MKG, CDumper и EDumper могут получать учетные данные, файлы cookie и историю просмотров из браузеров Chrome и Edge. |
|
Учетные данные из хранилищ паролей: диспетчер учетных данных Windows |
Специальный инструмент для дампа учетных данных OilRig IDumper может украсть учетные данные из диспетчера учетных данных Windows. |
||
Открытие |
Обнаружение системной информации |
Mango получает имя скомпрометированного компьютера. |
|
Обнаружение файлов и каталогов |
В Mango есть команда для перечисления содержимого указанного каталога. |
||
Обнаружение владельца системы/пользователя |
Mango получает имя пользователя жертвы. |
||
Обнаружение учетной записи: локальная учетная запись |
Инструменты OilRig EDumper, CDumper и IDumper компании OilRig могут перечислять все учетные записи пользователей на скомпрометированном хосте. |
||
Обнаружение информации о браузере |
MKG сбрасывает историю и закладки Chrome. |
||
Управление и контроль |
Протокол прикладного уровня: веб-протоколы |
Mango использует HTTP для связи с C&C. |
|
Входной инструмент передачи |
Mango имеет возможность загружать дополнительные файлы с C&C-сервера для последующего выполнения. |
||
Обфускация данных |
Solar и SC5k используют простой метод шифрования XOR вместе со сжатием gzip для запутывания хранящихся и передаваемых данных. |
||
Веб-служба: двунаправленная связь |
SC5k использует Office 365 для скачивания файлов и загрузки файлов в Шашки каталог в законной учетной записи электронной почты. |
||
Кодирование данных: стандартное кодирование |
Solar, Mango и MKG base64 декодируют данные перед отправкой на командный сервер. |
||
Зашифрованный канал: симметричная криптография |
Mango использует шифр XOR с ключом Q&4g для шифрования данных при общении с C&C. |
||
Зашифрованный канал: асимметричная криптография |
Mango использует TLS для связи с C&C. |
||
эксфильтрации |
Эксфильтрация через канал C2 |
Mango, Solar и SC5k используют свои каналы управления и контроля для эксфильтрации. |
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- в состоянии
- О нас
- выше
- Учетная запись
- Учетные записи
- Действие
- активный
- активно
- активно
- актеры
- добавленный
- дополнение
- дополнительный
- Дополнительно
- адрес
- адреса
- Добавляет
- После
- потом
- против
- Агент
- Нацеленный
- Все
- разрешено
- ALMA
- вдоль
- рядом
- Алфавит
- причислены
- среди
- an
- анализ
- проанализированы
- и
- Другой
- любой
- API
- API
- появиться
- появляется
- прикладной
- APT
- арабский
- Арабские Эмираты
- архив
- МЫ
- Аргументы
- массив
- AS
- собранный
- сборка
- астрономия
- At
- нападки
- Автоматизированный
- автоматически
- задняя дверь
- Черные ходы
- фон
- основанный
- основной
- BE
- было
- до
- начал
- за
- не являетесь
- ниже
- Кроме
- между
- Заблокировать
- тело
- закладки
- изоферменты печени
- браузер
- браузеры
- просмотр
- построенный
- бизнес
- но
- by
- призывают
- под названием
- Объявления
- Кампания
- Кампании
- CAN
- возможности
- возможности
- проводятся
- случаев
- определенный
- изменение
- менялась
- изменения
- Канал
- каналы
- характеристика
- символы
- химический
- выбор
- выбрал
- Chrome
- шифр
- Очистить
- код
- собирать
- Сбор
- COM
- сочетании
- Общий
- обычно
- общаться
- Связь
- Связь
- Компании
- компоненты
- скомпрометированы
- Ослабленный
- компьютер
- Конфигурация
- подтверждение
- Свяжитесь
- подключает
- обращайтесь
- содержать
- содержание
- контекст
- продолжающийся
- продолжается
- переделанный
- печенье
- может
- Создайте
- создает
- Создающий
- создание
- ПОЛНОМОЧИЯ
- Полномочия
- Текущий
- изготовленный на заказ
- данным
- базы данных
- Decrypt
- Защитники
- доставить
- развертывание
- развернуть
- развертывание
- развертывает
- Производный
- описано
- описание
- Несмотря на
- подробный
- обнаруженный
- обнаружение
- развитый
- различный
- открытый
- открытие
- отображается
- распределенный
- водоразделы
- документ
- приносит
- скачать
- загрузок
- проект
- Падение
- упал
- Опустившись
- Капли
- дамп
- каждый
- Ранее
- восток
- восточный
- Edge
- или
- Писем
- встроенный
- эмираты
- занятых
- включить
- зашифрованный
- шифрование
- Конечная точка
- Защита конечных точек
- энергетика
- соблазнительный
- шпионаж
- установить
- установленный
- уклонение
- Каждая
- пример
- обмена
- исключительно
- выполнять
- выполненный
- Выполняет
- проведение
- выполнение
- эксфильтрации
- Экстракты
- не настоящие
- Файл
- Файлы
- в заключение
- финансовый
- обнаружение
- результаты
- Во-первых,
- примерка
- поток
- Фокус
- фокусируется
- после
- следующим образом
- Что касается
- формат
- найденный
- Рамки
- от
- от 2021
- функция
- функциональные возможности
- функциональность
- Функции
- далее
- будущее
- сбор
- в общем
- генерируется
- генерирует
- Глобальный
- цель
- Google Chrome
- Правительство
- Правительства
- группы
- Группы
- Ручки
- хэш
- Есть
- здравоохранение
- следовательно
- здесь
- HEX
- Спрятать
- история
- Крючки
- кашель
- Как
- HTML
- HTTP
- HTTPS
- человек
- Набор персонала
- ID
- идентичный
- идентификатор
- if
- изображение
- в XNUMX году
- инвентарь
- улучшенный
- in
- включают
- В том числе
- действительно
- info
- информация
- Инфраструктура
- начальный
- обновлять
- инновации
- Запросы
- установлен
- вместо
- инструкции
- Интеллекта
- в нашей внутренней среде,
- в
- выпустили
- включая Иран
- Израиль
- IT
- ЕГО
- саму трезвость
- работа
- JSON
- июль
- всего
- хранение
- Основные
- известный
- Фамилия
- запустили
- слой
- наименее
- Ливан
- оставил
- законный
- такое как
- Вероятно
- линия
- LINK
- Список
- Включенный в список
- листинг
- Списки
- погрузка
- локальным
- расположение
- места
- журнал
- Длинное
- искать
- машина
- Макрос
- Макрос
- Главная
- основной
- вредоносных программ
- менеджер
- Marlin
- маскарад
- Совпадение
- MD5
- механизм
- Память
- упомянутый
- сообщение
- Сообщения
- Метаданные
- метод
- методы
- Microsoft
- средняя
- Ближний Восток
- MILAN
- миллисекунды
- Минут
- смешивать
- режим
- Более того
- самых
- в основном
- движется
- с разными
- имя
- Названный
- а именно
- имена
- именования
- национальный
- родной
- сеть
- Тем не менее
- Новые
- следующий
- NIST
- нет
- примечательный
- особенно
- номер
- номера
- получать
- Получает
- произошло
- of
- Предложения
- Офис
- .
- on
- ONE
- только
- Операционный отдел
- Операторы
- Опция
- or
- заказ
- организация
- организации
- Другое
- наши
- внешний
- космическое пространство
- выходной
- за
- переопределение
- обзор
- страница
- параметр
- параметры
- вечеринка
- Пароль
- пароли
- путь
- выполнения
- период
- настойчивость
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- Точка
- пунктов
- Портал
- должность
- возможно
- После
- PowerShell
- практически
- предшественник
- предыдущий
- предварительно
- первичный
- частная
- вероятно
- процесс
- Обработанный
- Процессы
- Продукт
- для защиты
- протокол
- обеспечивать
- опубликованный
- цель
- Запросы
- случайный
- скорее
- Reading
- получила
- последний
- зарегистрироваться
- Связанный
- полагаться
- удаленные
- удаление
- удален
- заменить
- отчету
- Отчеты
- запросить
- исследованиям
- исследователи
- Полезные ресурсы
- соответственно
- ответ
- ответственный
- ОТДЫХ
- в результате
- Итоги
- возвращают
- обзоре
- установка
- Run
- Бег
- s
- то же
- Сохранить
- сохраняются
- экономия
- видел
- график
- считаться
- схема
- схемы
- скрипт
- МОРЕ
- Во-вторых
- секунды
- Раздел
- Сектора юридического права
- безопасность
- посмотреть
- видел
- выбранный
- выбор
- отправка
- посылает
- послать
- Серии
- служить
- сервер
- Серверы
- обслуживание
- Услуги
- набор
- несколько
- акула
- Оболочка
- показанный
- Шоу
- аналогичный
- сходство
- просто
- с
- сайте
- небольшой
- So
- Software
- солнечный
- Решения
- некоторые
- Space
- конкретный
- указанный
- распространение
- штабелирования
- Этап
- инсценировка
- стандарт
- начинается
- перехватов
- Шаг
- Шаги
- украли
- Stop
- хранить
- магазины
- строка
- последующее
- впоследствии
- такие
- Поддержка
- включается
- символ
- система
- системы
- ТАБЛИЦЫ
- приняты
- принимает
- цель
- целевое
- направлены
- направлена против
- Сложность задачи
- задачи
- Технический
- Технический анализ
- связь
- чем
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Там.
- Эти
- они
- вещи
- В третьих
- этой
- угроза
- актеры угрозы
- Отчет об угрозах
- по всему
- Таким образом
- пресекать
- Галстуки
- время
- Название
- в
- инструментом
- инструменты
- топ
- транзит
- перевозки
- Доверие
- надежных
- два
- напишите
- типичный
- типично
- Обычный
- под
- Объединенный
- Объединенный Араб
- Объединенные Арабские Эмираты
- В отличие от
- неиспользованный
- обновление
- загружено
- Загрузка
- на
- URL
- us
- использование
- используемый
- Информация о пользователе
- пользователей
- использования
- через
- v1
- ценностное
- Наши ценности
- переменная
- разнообразие
- различный
- версия
- информация о версии
- версии
- вертикалей
- очень
- с помощью
- Жертва
- жертвы
- Войти
- посетили
- предупреждение
- законопроект
- способы
- we
- Web
- веб-сервер
- веб-сервисы
- Вебсайт
- веб-сайты
- ЧТО Ж
- были
- , которые
- в то время как
- все
- ширина
- будете
- окна
- в
- Word
- рабочий
- работает
- письмо
- письменный
- Да
- еще
- зефирнет