Raziskovalci ESET-a so analizirali dve kampanji skupine OilRig APT: Outer Space (2021) in Juicy Mix (2022). Obe kampanji kibernetskega vohunjenja sta bili usmerjeni izključno na izraelske organizacije, kar je v skladu z osredotočenostjo skupine na Bližnji vzhod, in sta uporabili isti načrt: OilRig je najprej ogrozil zakonito spletno mesto, da bi ga uporabil kot strežnik C&C, nato pa uporabil kapalke VBS za dostavo C# /.NET backdoor do svojih žrtev, hkrati pa uvaja različna orodja po zlorabi, ki se večinoma uporabljajo za odtujitev podatkov v ciljnih sistemih.
V svoji kampanji Outer Space je OilRig uporabil preprosta, prej nedokumentirana stranska vrata C#/.NET, ki smo jih poimenovali Solar, skupaj z novim prenosnikom SampleCheck5000 (ali SC5k), ki uporablja API spletnih storitev Microsoft Office Exchange za komunikacijo C&C. Za kampanjo Juicy Mix so akterji groženj izboljšali Solar in ustvarili stranska vrata Mango, ki ima dodatne zmogljivosti in metode zakrivanja. Poleg odkrivanja zlonamernega nabora orodij smo o ogroženih spletnih mestih obvestili tudi izraelski CERT.
Ključne točke te objave v spletnem dnevniku:
- ESET je opazoval dve kampanji OilRig, ki sta se zgodili v letih 2021 (Vesolje) in 2022 (Juicy Mix).
- Operaterji so ciljali izključno na izraelske organizacije in ogrozili zakonita izraelska spletna mesta za uporabo v svojih C&C komunikacijah.
- V vsaki kampanji so uporabili nova, prej nedokumentirana zadnja vrata prve stopnje C#/.NET: Solar v vesolju, nato njegov naslednik Mango v Juicy Mix.
- Oba backdoora so uvedli VBS droppers, ki so se domnevno razširili prek e-pošte s lažnim predstavljanjem.
- V obeh kampanjah so bila uvedena številna orodja za pokompromitiranje, zlasti prenosnik SC5k, ki uporablja API spletnih storitev Microsoft Office Exchange za komunikacijo C&C, in več orodij za krajo podatkov brskalnika in poverilnic iz upravitelja poverilnic Windows.
OilRig, znan tudi kot APT34, Lyceum ali Siamesekitten, je kibernetska vohunska skupina, ki deluje vsaj od leta 2014 in je splošno prepričanje s sedežem v Iranu. Skupina cilja na vlade Bližnjega vzhoda in različne poslovne vertikale, vključno s kemičnimi, energetskimi, finančnimi in telekomunikacijskimi. OilRig je izvedel kampanjo DNSpionage v 2018 in 2019, ki je bil namenjen žrtvam v Libanonu in Združenih arabskih emiratih. V letih 2019 in 2020 je OilRig nadaljeval z napadi z HardPass kampanja, ki je uporabila LinkedIn za ciljanje na žrtve Bližnjega vzhoda v energetskem in vladnem sektorju. Leta 2021 je OilRig posodobil svoj DanBot backdoor in začel uvajati Morski pes, Milan, in stranska vrata Marlin, omenjena v Izdaja T3 2021 poročila ESET o grožnjah.
V tej objavi v spletnem dnevniku ponujamo tehnično analizo zakulisnih vrat Solar in Mango, kapalke VBS, ki se uporablja za dostavo Manga, in orodij po kompromisu, uporabljenih v vsaki kampanji.
Pripis
Začetna povezava, ki nam je omogočila povezavo kampanje Outer Space z OilRig, je uporaba istega Chromovega podatkovnega pomnilnika po meri (ki so ga raziskovalci ESET-a spremljali pod imenom MKG) kot v Kampanja Out to Sea. Opazili smo, da je zakulisna vrata Solar uporabila enak vzorec MKG kot v Out to Sea na ciljnem sistemu, skupaj z dvema drugima različicama.
Poleg prekrivanja v orodjih in ciljanju smo opazili tudi več podobnosti med zadnjimi vrati Solar in zadnjimi vrati, uporabljenimi v Out to Sea, večinoma povezanih z nalaganjem in prenosom: tako Solar kot Shark, še ena stranska vrata OilRig, uporabljata URI-je s preprostimi shemami za nalaganje in prenos za komunikacijo s strežnikom C&C, z "d" za prenos in "u" za nalaganje; poleg tega prenosnik SC5k uporablja podimenike za nalaganje in prenos tako kot druga zakulisna vrata OilRig, in sicer ALMA, Shark, DanBot in Milan. Te ugotovitve služijo kot dodatna potrditev, da je krivec za vesolje res OilRig.
Kar zadeva povezave kampanje Juicy Mix z OilRigom, poleg ciljanja na izraelske organizacije – kar je značilno za to vohunsko skupino – obstajajo podobnosti kode med Mangom, stranskimi vrati, uporabljenimi v tej kampanji, in Solarjem. Poleg tega so oba backdoorja uvedli VBS droppers z isto tehniko zakrivanja nizov. Izbira postkompromisnih orodij, uporabljenih v Juicy Mix, prav tako odraža prejšnje kampanje OilRig.
Pregled vesoljske kampanje
Outer Space je poimenovana po uporabi sheme poimenovanja, ki temelji na astronomiji, v imenih funkcij in nalogah, zato je kampanja OilRig iz leta 2021. V tej kampanji je skupina ogrozila izraelsko spletno mesto za človeške vire in ga nato uporabila kot strežnik C&C za svoje prejšnje nedokumentirana stranska vrata C#/.NET, Solar. Solar je preprosta zadnja vrata z osnovnimi funkcijami, kot sta branje in pisanje z diska ter zbiranje informacij.
Prek Solarja je skupina nato uvedla nov prenosnik SC5k, ki uporablja API spletnih storitev Office Exchange za prenos dodatnih orodij za izvajanje, kot je prikazano v REF _Ref142655526 h Slika 1
. Za izločanje podatkov brskalnika iz žrtvinega sistema je OilRig uporabil Chromovo orodje za shranjevanje podatkov, imenovano MKG.
Pregled kampanje Juicy Mix
Leta 2022 je OilRig začel še eno kampanjo, namenjeno izraelskim organizacijam, tokrat s posodobljenim naborom orodij. Kampanjo smo poimenovali Juicy Mix za uporabo novega backdoorja OilRig, Mango (na podlagi imena njegovega notranjega sklopa in imena datoteke, Mango.exe). V tej kampanji so akterji groženj ogrozili legitimno spletno stran izraelskega zaposlitvenega portala za uporabo v C&C komunikacijah. Zlonamerna orodja skupine so bila nato uporabljena proti zdravstveni organizaciji, prav tako s sedežem v Izraelu.
Zadnja vrata prve stopnje Mango so naslednik Solarja, prav tako napisanega v C#/.NET, z opaznimi spremembami, ki vključujejo zmožnosti izločanja, uporabo izvornih API-jev in dodano kodo za izogibanje zaznavanju.
Skupaj z Mangom smo zaznali tudi dva prej nedokumentirana odlagališča podatkov brskalnika, ki sta bila uporabljena za krajo piškotkov, zgodovine brskanja in poverilnic iz brskalnikov Chrome in Edge, ter krajo upravitelja poverilnic sistema Windows, ki ju pripisujemo OilRigu. Vsa ta orodja so bila uporabljena proti isti tarči kot Mango, pa tudi pri drugih ogroženih izraelskih organizacijah v letih 2021 in 2022. REF _Ref125475515 h Slika 2
prikazuje pregled, kako so bile različne komponente uporabljene v kampanji Juicy Mix.
Tehnična analiza
V tem razdelku nudimo tehnično analizo zakulisnih vrat Solar in Mango ter prenosnika SC5k ter drugih orodij, ki so bila nameščena v ciljnih sistemih v teh kampanjah.
VBS kapalke
Za vzpostavitev opore na tarčnem sistemu so bili v obeh kampanjah uporabljeni Visual Basic Script (VBS) droppers, ki so se zelo verjetno razširili z e-pošto s lažnim predstavljanjem. Naša spodnja analiza se osredotoča na skript VBS, uporabljen za izpuščanje Manga (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); upoštevajte, da je Solarjeva kapalka zelo podobna.
Namen kapalke je dostaviti vdelana zadnja vrata Mango, razporediti opravilo za obstojnost in registrirati kompromis s strežnikom C&C. Vdelana stranska vrata so shranjena kot niz podnizov base64, ki so povezani in dekodirani base64. Kot je prikazano v REF _Ref125477632 h Slika 3
, skript uporablja tudi preprosto tehniko odkrivanja nizov, kjer so nizi sestavljeni z uporabo aritmetičnih operacij in Pr Funkcija.
Poleg tega Mangova kapalka VBS doda še eno vrsto zakrivanja nizov in kodo za nastavitev obstojnosti in registracijo na strežniku C&C. Kot je prikazano v REF _Ref125479004 h * MERGEFORMAT Slika 4
, da razoblači nekatere nize, skript zamenja vse znake v nizu #*+-_)(}{@$%^& z 0, nato razdeli niz na trimestna števila, ki se nato pretvorijo v znake ASCII z uporabo Pr
funkcijo. Na primer niz 116110101109117+99111$68+77{79$68}46-50108109120115}77 prevaja v Msxml2.DOMDocument.
Ko so stranska vrata vdelana v sistem, se dropper premakne naprej in ustvari načrtovano nalogo, ki izvaja Mango (ali Solar v drugi različici) vsakih 14 minut. Nazadnje skript pošlje ime ogroženega računalnika, kodirano z base64, prek zahteve POST za registracijo stranskih vrat s svojim strežnikom C&C.
Solarna zadnja vrata
Solar je zadnja vrata, uporabljena v kampanji OilRig Outer Space. Ta stranska vrata, ki imajo osnovne funkcije, se med drugim lahko uporabljajo za prenos in izvajanje datotek ter samodejno izločanje stopenjskih datotek.
Ime Solar smo izbrali na podlagi imena datoteke, ki ga uporablja OilRig, Solar.exe. To je primerno ime, saj backdoor uporablja shemo astronomskega poimenovanja za svoja imena funkcij in opravil, ki se uporabljajo v binarni datoteki (Živo srebro, Venera, marec, Zemljain Jupiter).
Solar začne izvajanje z izvajanjem korakov, prikazanih v REF _Ref98146919 h * MERGEFORMAT Slika 5
.
Zadnja vrata ustvarijo dve nalogi, Zemlja
in Venera, ki tečejo v pomnilniku. Za nobeno od obeh nalog ni funkcije zaustavitve, zato se bosta izvajali za nedoločen čas. Zemlja
se izvaja vsakih 30 sekund in Venera
je nastavljen tako, da se izvaja vsakih 40 sekund.
Zemlja je primarna naloga, ki je odgovorna za večino Solarjevih funkcij. S funkcijo komunicira s strežnikom C&C MercuryToSun, ki pošlje osnovne informacije o sistemu in različici zlonamerne programske opreme strežniku C&C in nato obravnava odgovor strežnika. Zemlja strežniku C&C pošlje naslednje podatke:
- Niz (@); celoten niz je šifriran.
- Niz 1.0.0.0, šifrirano (po možnosti številka različice).
- Niz 30000, šifrirano (po možnosti načrtovan čas izvajanja Zemlja
Šifriranje in dešifriranje se izvajata v imenovanih funkcijah JupiterE
in JupiterD, oz. Oba kličeta imenovano funkcijo JupiterX, ki izvaja zanko XOR, kot je prikazano v REF _Ref98146962 h Slika 6
.
Ključ je izpeljan iz trdo kodirane spremenljivke globalnega niza, 6sEj7*0B7#7In nuncij: v tem primeru naključni šestnajstiški niz, dolg od 2 do 24 znakov. Po šifriranju XOR se uporabi standardno kodiranje base64.
Spletni strežnik izraelskega kadrovskega podjetja, ki ga je OilRig na neki točki pred uvedbo Solarja ogrozil, je bil uporabljen kot strežnik C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Preden se pripne URI-ju, je enkripcijski nonce šifriran in vrednost začetnega poizvedbenega niza, rt, je nastavljeno na d tukaj, verjetno za "prenos".
Zadnji korak MercuryToSun
funkcija je obdelava odgovora s strežnika C&C. To stori tako, da pridobi podniz odgovora, ki se nahaja med znaki QQ@ in @kk. Ta odgovor je niz navodil, ločenih z zvezdicami (*), ki je obdelan v matriko. Zemlja
nato izvede ukaze za stranska vrata, ki vključujejo prenos dodatnega koristnega tovora s strežnika, seznam datotek v sistemu žrtve in zagon določenih izvršljivih datotek.
Izhod ukaza je nato gzip stisnjen z uporabo funkcije Neptun
in šifriran z istim šifrirnim ključem in novim nonce. Nato se rezultati naložijo na strežnik C&C, tako:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid in novi nonce so šifrirani z JupiterE
funkcijo in tukaj vrednost rt nastavljena na u, verjetno za »nalaganje«.
Venera, drugo načrtovano opravilo, se uporablja za samodejno ekstrakcijo podatkov. Ta majhna naloga kopira vsebino datotek iz imenika (imenovanega tudi Venera) na strežnik C&C. Te datoteke je verjetno tukaj spustilo neko drugo, še neidentificirano orodje OilRig. Po nalaganju datoteke jo naloga izbriše z diska.
Mango backdoor
Za svojo kampanjo Juicy Mix je OilRig zamenjal zadnja vrata Solar za Mango. Ima podoben potek dela kot Solar in prekrivajoče se zmogljivosti, vendar je kljub temu nekaj opaznih sprememb:
- Uporaba TLS za C&C komunikacije.
- Uporaba izvornih API-jev namesto API-jev .NET za izvajanje datotek in ukazov lupine.
- Čeprav se ne uporablja aktivno, je bila uvedena koda za izogibanje odkrivanju.
- Podpora za avtomatsko eksfiltracijo (Venera
- Podpora za dnevniški način je bila odstranjena in imena simbolov so bila zakrita.
V nasprotju s Solarjevo shemo poimenovanja na temo astronomije Mango zamegljuje svoja imena simbolov, kot je razvidno iz REF _Ref142592880 h Slika 7
.
Poleg zakrivanja imen simbola Mango uporablja tudi metodo zlaganja nizov (kot je prikazano v REF _Ref142592892 h Slika 8
REF _Ref141802299 h
) za zameglitev nizov, kar oteži uporabo preprostih metod odkrivanja.
Podobno kot pri Solarju se zakulisna vrata Mango začnejo z ustvarjanjem opravila v pomnilniku, ki se izvaja neomejeno vsakih 32 sekund. Ta naloga komunicira s strežnikom C&C in izvaja ukaze za zadnja vrata, podobno kot Solar Zemlja
naloga. Medtem ko Solar tudi ustvarja Venera, opravilo za avtomatizirano eksfiltracijo, je to funkcionalnost v Mangu nadomestil nov ukaz za stranska vrata.
V glavni nalogi Mango najprej ustvari identifikator žrtve, , za uporabo v C&C komunikacijah. ID se izračuna kot zgoščena vrednost MD5 , oblikovan kot šestnajstiški niz.
Če želite zahtevati ukaz za stranska vrata, Mango nato pošlje niz d@ @ | na strežnik C&C http://www.darush.co[.]il/ads.asp – zakonit izraelski zaposlitveni portal, ki ga je pred to kampanjo verjetno ogrozil OilRig. O kompromisu smo obvestili izraelsko nacionalno organizacijo CERT.
Telo zahteve je sestavljeno na naslednji način:
- Podatki za prenos so šifrirani XOR s šifrirnim ključem V&4g, nato kodirano base64.
- Iz te abecede (kot je prikazano v kodi) se ustvari psevdonaključni niz 3–14 znakov: i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Šifrirani podatki so vstavljeni na psevdonaključni položaj znotraj ustvarjenega niza, zaprtega med [@ in @] ločila.
Mango za komunikacijo s svojim C&C strežnikom uporablja protokol TLS (Transport Layer Security), ki se uporablja za zagotavljanje dodatnega sloja šifriranja..
Podobno je ukaz za zadnja vrata, prejet od strežnika C&C, šifriran XOR, kodiran base64 in nato zaprt med [@ in @] znotraj telesa odgovora HTTP. Sam ukaz je bodisi NCNT
(v tem primeru se ne izvede nobeno dejanje) ali niz več parametrov, ločenih z
@, kot je podrobno opisano v REF _Ref125491491 h Tabela 1
, ki navaja Mangove ukaze za stranska vrata. Upoštevajte to ni naveden v tabeli, ampak se uporablja v odgovoru strežniku C&C.
Tabela 1. Seznam Mangovih ukazov za zadnja vrata
arg1 |
arg2 |
arg3 |
Sprejeti ukrepi |
Vrnjena vrednost |
|
1 ali prazen niz |
+sp |
N / A |
Izvede navedeni ukaz datoteke/lupine (z izbirnimi argumenti) z uporabo izvornega CreateProcess API, uvožen prek DllImport. Če argumenti vsebujejo [s], se nadomesti z C: WindowsSystem32. |
Izhod ukaza. |
|
+nu |
N / A |
Vrne niz različice zlonamerne programske opreme in URL C&C. |
|; v tem primeru: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Našteje vsebino določenega imenika (ali trenutnega delovnega imenika). |
imenik Za vsak podimenik:
Za vsako datoteko: MAPA Dir(i) Datoteke |
||
+dn |
N / A |
Naloži vsebino datoteke na strežnik C&C prek nove zahteve HTTP POST v obliki: u@ @ | @ @2@. |
Eden od: · mapa[ ] je naložen na strežnik. · datoteka ni najdena! · pot datoteke prazna! |
||
2 |
Base64 kodirani podatki |
Ime datoteke |
Izpiše navedene podatke v datoteko v delovnem imeniku. |
datoteka prenesena na pot [ ] |
Vsak ukaz backdoor se obravnava v novi niti, njihove vrnjene vrednosti pa so nato kodirane base64 in kombinirane z drugimi metapodatki. Končno se ta niz pošlje strežniku C&C z uporabo istega protokola in metode šifriranja, kot je opisano zgoraj.
Neuporabljena tehnika izogibanja odkrivanju
Zanimivo, našli smo neuporabljenega tehnika izogibanja odkrivanju znotraj Manga. Funkcija, odgovorna za izvajanje datotek in ukazov, prenesenih s strežnika C&C, ima neobvezen drugi parameter – ID procesa. Če je nastavljeno, Mango nato uporabi UpdateProcThreadAttribute
API za nastavitev PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) atribut za podani proces v vrednost: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), kot je prikazano v REF _Ref125480118 h Slika 9
.
Cilj te tehnike je preprečiti varnostnim rešitvam končne točke, da v tem procesu naložijo svoje kodne kljuke uporabniškega načina prek DLL. Medtem ko parameter ni bil uporabljen v vzorcu, ki smo ga analizirali, bi ga lahko aktivirali v prihodnjih različicah.
Verzija 1.1.1
Ne glede na kampanjo Juicy Mix smo julija 2023 našli novo različico zakulisnih vrat Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), ki ga je v VirusTotal naložilo več uporabnikov pod imenom Menorah.exe. Notranja različica v tem vzorcu je bila spremenjena iz 1.0.0 v 1.1.1, vendar je edina opazna sprememba uporaba drugega strežnika C&C, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Skupaj s to različico smo odkrili tudi dokument Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) z zlonamernim makrom, ki spusti stranska vrata. REF _Ref143162004 h Slika 10
prikazuje lažno opozorilno sporočilo, ki uporabnika nagovarja, da omogoči makre za dokument, in vabljivo vsebino, ki se prikaže pozneje, medtem ko se zlonamerna koda izvaja v ozadju.
Slika 10. Dokument Microsoft Word z zlonamernim makrom, ki izpusti Mango v1.1.1
Postkompromisna orodja
V tem razdelku pregledamo izbor orodij po odkritju, ki se uporabljajo v kampanjah OilRig Outer Space in Juicy Mix, namenjenih prenosu in izvajanju dodatnih koristnih obremenitev ter kraji podatkov iz ogroženih sistemov.
Program za prenos SampleCheck5000 (SC5k).
SampleCheck5000 (ali SC5k) je prenosnik, ki se uporablja za prenos in izvajanje dodatnih orodij OilRig, znanih po uporabi API-ja spletnih storitev Microsoft Office Exchange za komunikacijo C&C: napadalci ustvarijo osnutke sporočil v tem e-poštnem računu in tam skrijejo ukaze za stranska vrata. Nato se prenosnik prijavi v isti račun in razčleni osnutke, da pridobi ukaze in obremenitve za izvedbo.
SC5k uporablja vnaprej določene vrednosti – Microsoft Exchange URL, e-poštni naslov in geslo – za prijavo v oddaljeni strežnik Exchange, vendar podpira tudi možnost preglasitve teh vrednosti z uporabo konfiguracijske datoteke v trenutnem delovnem imeniku z imenom nastavitev.ključ. Ime SampleCheck5000 smo izbrali na podlagi enega od e-poštnih naslovov, ki jih je orodje uporabilo v kampanji Outer Space.
Ko se SC5k prijavi v oddaljeni strežnik Exchange, pridobi vsa e-poštna sporočila v Osnutki
imenik, jih razvrsti po najnovejših in ohrani samo osnutke s prilogami. Nato pregleda vsak osnutek sporočila s prilogo in išče priloge JSON, ki vsebujejo "Podatki" v telesu. Izvleče vrednost iz ključa datum v datoteki JSON base64 dekodira in dešifrira vrednost ter pokliče cmd.exe za izvedbo nastalega niza ukazne vrstice. SC5k nato shrani izpis cmd.exe
izvajanje v lokalno spremenljivko.
Kot naslednji korak v zanki prenosnik sporoči rezultate operaterjem OilRig tako, da ustvari novo e-poštno sporočilo na strežniku Exchange in ga shrani kot osnutek (ne pošilja), kot je prikazano v REF _Ref98147102
h * MERGEFORMAT Slika 11
. Podobna tehnika se uporablja za izločanje datotek iz lokalne uprizoritvene mape. Kot zadnji korak v zanki SC5k zabeleži tudi izhod ukaza v šifrirani in stisnjeni obliki na disku.
Odlagalci podatkov brskalnika
Za operaterje OilRiga je značilno, da v svojih dejavnostih po kompromisu uporabljajo preklapljače podatkov brskalnika. Odkrili smo dva nova krajca podatkov brskalnika med postkompromisnimi orodji, ki so bila uporabljena v kampanji Juicy Mix poleg zakulisnih vrat Mango. Ukradene podatke brskalnika vržejo v % Temp% imenik v datoteke z imenom Cupdate
in Eupdate
(od tod naša imena zanje: CDumper in EDumper).
Obe orodji sta kraji podatkov brskalnika C#/.NET, zbirata piškotke, zgodovino brskanja in poverilnice iz brskalnikov Chrome (CDumper) in Edge (EDumper). Našo analizo smo osredotočili na CDumper, saj sta oba stealerja praktično enaka, razen nekaj konstant.
Ko se zažene, CDumper ustvari seznam uporabnikov z nameščenim brskalnikom Google Chrome. Pri izvedbi se kradljivac poveže s Chrome SQLite Piškotki, Zgodovina
in Podatki za prijavo baze podatkov pod %APPDATA%LocalGoogleChromeUser podatki, in zbira podatke brskalnika, vključno z obiskanimi URL-ji in shranjenimi prijavami, z uporabo poizvedb SQL.
Vrednosti piškotkov se nato dešifrirajo, vse zbrane informacije pa se dodajo v dnevniško datoteko z imenom C:Uporabniki AppDataLocalTempCupdate, v čistem besedilu. Ta funkcionalnost je implementirana v imenovanih funkcijah CDumper CookieGrab
(Glej REF _Ref126168131 h Slika 12
), HistoryGrab, in PasswordGrab. Upoštevajte, da v CDumperju ni implementiranega mehanizma za izločanje, vendar lahko Mango izloči izbrane datoteke prek ukaza za zadnja vrata.
Tako v vesolju kot prej Na morje kampanji je OilRig uporabil C/C++ Chrome podatkovni dumper, imenovan MKG. Tako kot CDumper in EDumper je lahko tudi MKG iz brskalnika ukradel uporabniška imena in gesla, zgodovino brskanja in piškotke. Ta smetnjak podatkov Chrome je običajno nameščen na naslednjih lokacijah datotek (pri čemer je prva lokacija najpogostejša):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Credential Manager kradljivac
Poleg orodij za izpisovanje podatkov brskalnika je OilRig v kampanji Juicy Mix uporabil tudi program za krajo Windows Credential Manager. To orodje ukrade poverilnice iz Windows Credential Managerja in jih podobno kot CDumper in EDumper shrani v % Temp% imenik – tokrat v datoteko z imenom IUpdate
(od tod ime IDumper). Za razliko od CDumper in EDumper je IDumper implementiran kot skript PowerShell.
Tako kot pri orodjih za preklapljanje v brskalniku ni neobičajno, da OilRig zbira poverilnice iz upravitelja poverilnic Windows. Prej so bili operaterji OilRig opazovani z uporabo VALUEVAULT, a javno dostopna, Go-prevedeno orodje za krajo poverilnic (glejte Kampanja HardPass 2019 in Kampanja 2020), za isti namen.
zaključek
OilRig še naprej uvaja inovacije in ustvarja nove vsadke z zmožnostmi, podobnimi zakulisnim vratom, medtem ko išče nove načine za izvajanje ukazov na oddaljenih sistemih. Skupina je izboljšala svoja zadnja vrata C#/.NET Solar iz kampanje Outer Space, da bi ustvarila nova stranska vrata z imenom Mango za kampanjo Juicy Mix. Skupina uporablja nabor orodij po meri po odkritju, ki se uporabljajo za zbiranje poverilnic, piškotkov in zgodovine brskanja iz večjih brskalnikov in iz upravitelja poverilnic Windows. Kljub tem novostim se OilRig prav tako še naprej zanaša na uveljavljene načine pridobivanja uporabniških podatkov.
Za vsa vprašanja o naši raziskavi, objavljeni na WeLiveSecurity, nas kontaktirajte na grožnjaintel@eset.com.
ESET Research ponuja zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.
IoC
datoteke
SHA-1 |
Ime datoteke |
Ime zaznavanja ESET |
Opis |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
Moj življenjepis.doc |
VBA/OilRig.C |
Dokument z zlonamernim makrom, ki spušča Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS kapalka. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Solarna zadnja vrata. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Mango backdoor (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Mango backdoor (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Edge podatkovni dumper. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Chromov smetnjak podatkov. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Odlagalec upravitelja poverilnic Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome podatkovni dumper. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome podatkovni dumper. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome podatkovni dumper. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Prenosnik SC5k (32-bitna različica). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Prenosnik SC5k (64-bitna različica). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
vozlišče.exe |
MSIL/OilRig.D |
Prenosnik SC5k (64-bitna različica). |
mreža
IP |
Domena |
Ponudnik gostovanja |
Prvič viden |
podrobnosti |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
Tehnike MITER ATT&CK
Ta tabela je bila izdelana z uporabo različica 13 okvira MITER ATT&CK.
Taktika |
ID |
Ime |
Opis |
Razvoj virov |
Kompromisna infrastruktura: strežnik |
V obeh kampanjah Outer Space in Juicy Mix je OilRig ogrozil zakonita spletna mesta za uprizoritev zlonamernih orodij in za komunikacijo C&C. |
|
Razviti zmogljivosti: zlonamerna programska oprema |
OilRig je razvil stranska vrata po meri (Solar in Mango), prenosnik (SC5k) in nabor orodij za krajo poverilnic za uporabo v svojih operacijah. |
||
Zmogljivosti stopnje: nalaganje zlonamerne programske opreme |
OilRig je zlonamerne komponente naložil na svoje C&C strežnike ter shranil vnaprej pripravljene datoteke in ukaze v Osnutki e-poštni imenik računa Office 365 za SC5k za prenos in izvedbo. |
||
Zmogljivosti odra: orodje za nalaganje |
OilRig je na svoje strežnike C&C naložil zlonamerna orodja in shranil vnaprej pripravljene datoteke v Osnutki e-poštni imenik računa Office 365 za SC5k za prenos in izvedbo. |
||
Začetni dostop |
Lažno predstavljanje: priloga lažnega predstavljanja |
OilRig je svoje kampanje za vesoljsko vesolje in Juicy Mix verjetno distribuiral prek lažnih e-poštnih sporočil s priloženimi kapalkami VBS. |
|
Izvedba |
Načrtovano opravilo/opravilo: Načrtovano opravilo |
Orodja IDumper, EDumper in CDumper podjetja OilRig uporabljajo imenovana načrtovana opravila tj, izd , in cu da se izvajajo v kontekstu drugih uporabnikov. Solar in Mango uporabljata opravilo C#/.NET na časovniku za iterativno izvajanje svojih glavnih funkcij. |
|
Tolmač ukazov in skriptov: PowerShell |
Orodje OilRig IDumper za izvajanje uporablja PowerShell. |
||
Tolmač ukazov in skriptov: ukazna lupina Windows |
Uporaba OilRig Solar, SC5k, IDumper, EDumper in CDumper cmd.exe za izvajanje nalog v sistemu. |
||
Tolmač ukazov in skriptov: Visual Basic |
OilRig uporablja zlonamerni VBScript za dostavo in obstoj svojih zakulisnih vrat Solar in Mango. |
||
Izvorni API |
Zadnja vrata OilRig Mango uporabljajo CreateProcess Windows API za izvajanje. |
||
Vztrajnost |
Načrtovano opravilo/opravilo: Načrtovano opravilo |
OilRigova kapalka VBS načrtuje nalogo z imenom ReminderTask vzpostaviti obstojnost za zadnja vrata Mango. |
|
Izmikanje obrambi |
Prikrivanje: ujemanje z zakonitim imenom ali lokacijo |
OilRig uporablja zakonita ali neškodljiva imena datotek za svojo zlonamerno programsko opremo, da se prikrije pred zagovorniki in varnostno programsko opremo. |
|
Zakrite datoteke ali informacije: pakiranje programske opreme |
OilRig je uporabil SAPIEN Script Packager in Obfuskator SmartAssembly za zameglitev svojega orodja IDumper. |
||
Zakrite datoteke ali informacije: vdelana obremenitev |
Kapalke OilRig VBS imajo v sebi vdelane zlonamerne koristne obremenitve kot niz podnizov base64. |
||
Maškarada: Naloga ali storitev maškarade |
Da bi bil videti legitimen, Mangov VBS dropper načrtuje nalogo z opisom Zaženite beležnico ob določenem času. |
||
Odstranitev indikatorja: Jasna obstojnost |
Postkompromisna orodja podjetja OilRig izbrišejo svoje načrtovane naloge po določenem časovnem obdobju. |
||
Razmegljevanje/dekodiranje datotek ali informacij |
OilRig uporablja več metod zamegljevanja za zaščito svojih nizov in vdelanih tovorov. |
||
Podrijte nadzor zaupanja |
SC5k kot spletno mesto za prenos uporablja Office 365, ki je na splošno zaupanja vredna tretja oseba in jo zagovorniki pogosto spregledajo. |
||
Oslabi obrambo |
OilRigova zadnja vrata Mango imajo (še) neuporabljeno zmožnost, da varnostnim rešitvam končne točke preprečijo nalaganje kode uporabniškega načina v določene procese. |
||
Dostop s poverilnicami |
Poverilnice iz shramb gesel: Poverilnice iz spletnih brskalnikov |
Orodja po meri OilRig MKG, CDumper in EDumper lahko pridobijo poverilnice, piškotke in zgodovino brskanja iz brskalnikov Chrome in Edge. |
|
Poverilnice iz shramb gesel: Windows Credential Manager |
OilRigovo orodje za izpis poverilnic po meri IDumper lahko ukrade poverilnice iz upravitelja poverilnic Windows. |
||
Discovery |
Odkrivanje sistemskih informacij |
Mango pridobi ogroženo ime računalnika. |
|
Odkrivanje datotek in imenikov |
Mango ima ukaz za oštevilčenje vsebine določenega imenika. |
||
Odkrivanje lastnika sistema/uporabnika |
Mango pridobi uporabniško ime žrtve. |
||
Odkrivanje računa: lokalni račun |
Orodja OilRig EDumper, CDumper in IDumper lahko naštejejo vse uporabniške račune na ogroženem gostitelju. |
||
Odkrivanje informacij brskalnika |
MKG izpiše zgodovino in zaznamke Chroma. |
||
Poveljevanje in nadzor |
Protokol aplikacijskega sloja: spletni protokoli |
Mango uporablja HTTP v komunikaciji C&C. |
|
Prenos orodja Ingress |
Mango ima zmožnost prenosa dodatnih datotek s strežnika C&C za kasnejšo izvedbo. |
||
Zakrivanje podatkov |
Solar in SC5k uporabljata preprosto metodo šifriranja XOR skupaj s stiskanjem gzip za zakrivanje podatkov v mirovanju in med prenosom. |
||
Spletna storitev: dvosmerna komunikacija |
SC5k uporablja Office 365 za prenos datotek iz in nalaganje datotek v Osnutki imenik v zakonitem e-poštnem računu. |
||
Kodiranje podatkov: Standardno kodiranje |
Solar, Mango in MKG base64 dekodira podatke, preden jih pošlje strežniku C&C. |
||
Šifrirani kanal: simetrična kriptografija |
Mango s ključem uporablja šifro XOR V&4g za šifriranje podatkov v C&C komunikaciji. |
||
Šifrirani kanal: Asimetrična kriptografija |
Mango uporablja TLS za C&C komunikacijo. |
||
Eksfiltracija |
Eksfiltracija preko kanala C2 |
Mango, Solar in SC5k uporabljajo svoje C&C kanale za eksfiltracijo. |
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Sposobna
- O meni
- nad
- Račun
- računi
- Ukrep
- aktivna
- aktivno
- dejavnosti
- akterji
- dodano
- Poleg tega
- Dodatne
- Poleg tega
- Naslov
- naslovi
- Dodaja
- po
- potem
- proti
- Agent
- Namerjen
- vsi
- dovoljene
- ALMA
- skupaj
- skupaj
- Abeceda
- Prav tako
- med
- an
- Analiza
- analizirati
- in
- Še ena
- kaj
- API
- API-ji
- zdi
- se prikaže
- uporabna
- APT
- arab
- Arabski emirati
- Arhiv
- SE
- Argumenti
- Array
- AS
- sestavljeni
- Skupščina
- astronomija
- At
- Napadi
- Avtomatizirano
- samodejno
- Zakulisni
- Skrite
- ozadje
- temeljijo
- Osnovni
- BE
- bilo
- pred
- začel
- zadaj
- počutje
- spodaj
- poleg tega
- med
- Block
- telo
- zaznamki
- tako
- brskalnik
- brskalniki
- Brskanje
- zgrajena
- poslovni
- vendar
- by
- klic
- se imenuje
- poziva
- Akcija
- Kampanje
- CAN
- Zmogljivosti
- zmožnost
- prenašal
- primeru
- nekatere
- spremenite
- spremenilo
- Spremembe
- Channel
- kanali
- Značilnost
- znaki
- kemijske
- izbira
- izbral
- Krom
- šifra
- jasno
- Koda
- zbiranje
- Zbiranje
- COM
- kombinirani
- Skupno
- pogosto
- komunicirajo
- Komunikacija
- Communications
- Podjetja
- deli
- Kompromis
- Ogroženo
- računalnik
- konfiguracija
- Potrditev
- Connect
- povezuje
- kontakt
- vsebujejo
- vsebina
- ozadje
- naprej
- se nadaljuje
- pretvori
- piškotki
- bi
- ustvarjajo
- ustvari
- Ustvarjanje
- Oblikovanje
- POVERILNICA
- Mandatno
- Trenutna
- po meri
- datum
- baze podatkov
- Dešifriraj
- Branilci
- poda
- razporedi
- razporejeni
- uvajanja
- razpolaga
- Izpeljano
- opisano
- opis
- Kljub
- podrobno
- Zaznali
- Odkrivanje
- razvili
- drugačen
- odkril
- Odkritje
- prikazano
- porazdeljena
- deli
- dokument
- ne
- prenesi
- prenosov
- Osnutek
- Drop
- padla
- Spuščanje
- Kapljice
- smetišče
- vsak
- prej
- East
- vzhodni
- Edge
- bodisi
- E-naslov
- e-pošta
- vgrajeni
- emirates
- zaposleni
- omogočajo
- šifriran
- šifriranje
- Končna točka
- Varnost končne točke
- energija
- vabljiv
- vohunjenja
- vzpostaviti
- ustanovljena
- utaje
- Tudi vsak
- Primer
- Izmenjava
- ekskluzivno
- izvršiti
- izvršeno
- Izvaja
- izvršitve
- izvedba
- eksfiltracija
- Izvlečki
- ponaredek
- file
- datoteke
- končno
- finančna
- iskanje
- Ugotovitve
- prva
- opremljanje
- Pretok
- Osredotočite
- Osredotoča
- po
- sledi
- za
- format
- je pokazala,
- Okvirni
- iz
- od 2021
- funkcija
- funkcionalnosti
- funkcionalnost
- funkcije
- nadalje
- Prihodnost
- zbiranje
- splošno
- ustvarila
- ustvarja
- Globalno
- Cilj
- Google Chrome
- vlada
- Vlade
- skupina
- Skupine
- Ročaji
- hash
- Imajo
- zdravstveno varstvo
- zato
- tukaj
- HEX
- Skrij
- zgodovina
- kljuke
- gostitelj
- Kako
- HTML
- http
- HTTPS
- človeškega
- Človeški viri
- ID
- enako
- identifikator
- if
- slika
- izvajali
- izvedbe
- izboljšalo
- in
- vključujejo
- Vključno
- prav zares
- info
- Podatki
- Infrastruktura
- začetna
- inovacije
- novosti
- Poizvedbe
- nameščen
- Namesto
- Navodila
- Intelligence
- notranji
- v
- Uvedeno
- Iran
- Izrael
- IT
- ITS
- sam
- Job
- json
- julij
- samo
- vzdrževanje
- Ključne
- znano
- Zadnja
- začela
- plast
- vsaj
- Libanon
- levo
- legitimno
- kot
- Verjeten
- vrstica
- LINK
- Seznam
- Navedeno
- seznam
- seznami
- nalaganje
- lokalna
- kraj aktivnosti
- Lokacije
- prijavi
- Long
- si
- stroj
- Makro
- makri
- Glavne
- velika
- zlonamerna programska oprema
- upravitelj
- Marlin
- Maškarada
- Stave
- MD5
- Mehanizem
- Spomin
- omenjeno
- Sporočilo
- sporočil
- metapodatki
- Metoda
- Metode
- Microsoft
- Bližnji
- srednji vzhod
- MILAN
- milisekund
- Minute
- mix
- način
- Poleg tega
- Najbolj
- večinoma
- premika
- več
- Ime
- Imenovan
- in sicer
- Imena
- poimenovanje
- nacionalni
- materni
- net
- Kljub temu
- Novo
- Naslednja
- nst
- št
- opazen
- predvsem
- Številka
- številke
- pridobi
- pridobi
- zgodilo
- of
- Ponudbe
- Office
- pogosto
- on
- ONE
- samo
- operacije
- operaterji
- Možnost
- or
- Da
- Organizacija
- organizacije
- Ostalo
- naši
- ven
- zunanji prostor
- izhod
- več
- preglasijo
- pregled
- Stran
- parameter
- parametri
- zabava
- Geslo
- gesla
- pot
- izvajati
- Obdobje
- vztrajnost
- Ribarjenje
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prosim
- Točka
- točke
- Portal
- Stališče
- mogoče
- Prispevek
- PowerShell
- praktično
- predhodnik
- prejšnja
- prej
- primarni
- zasebna
- verjetno
- Postopek
- Predelano
- Procesi
- Izdelek
- zaščito
- protokol
- zagotavljajo
- objavljeno
- Namen
- poizvedbe
- naključno
- precej
- reading
- prejetih
- nedavno
- Registracija
- povezane
- zanašajo
- daljinsko
- odstranitev
- Odstranjeno
- nadomesti
- poročilo
- Poročila
- zahteva
- Raziskave
- raziskovalci
- viri
- oziroma
- Odgovor
- odgovorna
- REST
- rezultat
- Rezultati
- vrnitev
- pregleda
- rig
- Run
- tek
- s
- Enako
- Shrani
- shranjena
- shranjevanje
- Videl
- urnik
- načrtovano
- shema
- sheme
- script
- MORJE
- drugi
- sekund
- Oddelek
- Sektorji
- varnost
- glej
- videl
- izbran
- izbor
- pošiljanja
- pošlje
- poslan
- Serija
- služijo
- strežnik
- Strežniki
- Storitev
- Storitve
- nastavite
- več
- Shark
- Shell
- pokazale
- Razstave
- Podoben
- podobnosti
- Enostavno
- saj
- spletna stran
- majhna
- So
- Software
- sončna
- rešitve
- nekaj
- Vesolje
- specifična
- določeno
- namaz
- zlaganje
- Stage
- uprizoritev
- standardna
- začne
- ukradejo
- Korak
- Koraki
- ukradeno
- stop
- shranjeni
- trgovine
- String
- kasneje
- Kasneje
- taka
- Podpira
- preklopi
- Simbol
- sistem
- sistemi
- miza
- sprejeti
- meni
- ciljna
- ciljno
- ciljanje
- Cilji
- Naloga
- Naloge
- tehnični
- Tehnična analiza
- telekomunikacije
- kot
- da
- O
- njihove
- Njih
- sami
- POTEM
- Tukaj.
- te
- jih
- stvari
- tretja
- ta
- Grožnja
- akterji groženj
- Poročilo o grožnji
- vsej
- Tako
- preprečiti
- Vezi
- čas
- Naslov
- do
- orodje
- orodja
- vrh
- tranzit
- prevoz
- Zaupajte
- zaupa
- dva
- tip
- tipičen
- tipično
- Občasni
- pod
- Velika
- Združeni arab
- Združeni Arabski Emirati
- za razliko od
- neuporabljeno
- posodobljeno
- naložili
- Prenos
- naprej
- URL
- us
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporablja
- uporabo
- v1
- vrednost
- Vrednote
- spremenljivka
- raznolikost
- različnih
- različica
- informacije o različici
- različice
- vertikale
- zelo
- preko
- Žrtva
- žrtve
- obisk
- obiskali
- opozorilo
- je
- načini
- we
- web
- spletni strežnik
- spletne storitve
- Spletna stran
- spletne strani
- Dobro
- so bili
- ki
- medtem
- celoti
- širina
- bo
- okna
- z
- v
- beseda
- potek dela
- deluje
- pisanje
- pisni
- ja
- še
- zefirnet