ESET-forskare har analyserat två kampanjer av OilRig APT-gruppen: Outer Space (2021) och Juicy Mix (2022). Båda dessa cyberspionagekampanjer riktade sig uteslutande till israeliska organisationer, vilket är i linje med gruppens fokus på Mellanöstern, och använde samma spelbok: OilRig komprometterade först en legitim webbplats för att använda som en C&C-server och använde sedan VBS droppers för att leverera en C# /.NET bakdörr till sina offer, samtidigt som de distribuerar en mängd olika verktyg efter kompromiss som oftast används för dataexfiltrering på målsystemen.
I deras Outer Space-kampanj använde OilRig en enkel, tidigare odokumenterad C#/.NET-bakdörr som vi döpte till Solar, tillsammans med en ny nedladdare, SampleCheck5000 (eller SC5k), som använder Microsoft Office Exchange Web Services API för C&C-kommunikation. För Juicy Mix-kampanjen förbättrade hotaktörerna Solar för att skapa Mango-bakdörren, som har ytterligare möjligheter och fördunklingsmetoder. Förutom att upptäcka den skadliga verktygsuppsättningen, meddelade vi också den israeliska CERT om de komprometterade webbplatserna.
Huvudpunkterna i detta blogginlägg:
- ESET observerade två OilRig-kampanjer som inträffade under 2021 (Ytre rymden) och 2022 (Juicy Mix).
- Operatörerna riktade sig uteslutande mot israeliska organisationer och äventyrade legitima israeliska webbplatser för användning i deras C&C-kommunikation.
- De använde en ny, tidigare odokumenterad C#/.NET-bakdörr i första steget i varje kampanj: Solar in Outer Space, sedan dess efterföljare Mango i Juicy Mix.
- Båda bakdörrarna var utplacerade av VBS-droppare, antagligen spridda via e-postmeddelanden som spreds.
- En mängd olika verktyg efter kompromiss implementerades i båda kampanjerna, särskilt nedladdningsprogrammet SC5k som använder Microsoft Office Exchange Web Services API för C&C-kommunikation, och flera verktyg för att stjäla webbläsardata och användaruppgifter från Windows Credential Manager.
OilRig, även känd som APT34, Lyceum eller Siamesekitten, är en cyberspionagegrupp som har varit aktiv sedan åtminstone 2014 och är allmänt trott att vara baserad i Iran. Gruppen riktar sig till regeringar i Mellanöstern och en mängd olika affärsvertikaler, inklusive kemi, energi, finans och telekommunikation. OilRig genomförde kampanjen DNSpionage i 2018 och 2019, som riktade sig mot offer i Libanon och Förenade Arabemiraten. Under 2019 och 2020 fortsatte OilRig attackerna med HardPass kampanj, som använde LinkedIn för att rikta in sig på offer från Mellanöstern inom energi- och regeringssektorn. 2021 uppdaterade OilRig sin DanBot bakdörr och började distribuera Shark, Milano, och Marlin bakdörrar, som nämns i T3 2021 nummer i ESETs hotrapport.
I det här blogginlägget tillhandahåller vi teknisk analys av Solar- och Mango-bakdörrarna, av VBS-dropparen som används för att leverera Mango och av verktygen efter kompromiss som används i varje kampanj.
Erkännande
Den första länken som gjorde det möjligt för oss att koppla Outer Space-kampanjen till OilRig är användningen av samma anpassade Chrome-datadumper (spåras av ESET-forskare under namnet MKG) som i Ut till havet-kampanj. Vi observerade att Solar-bakdörren distribuerade samma prov av MKG som i Out to Sea på målets system, tillsammans med två andra varianter.
Förutom överlappningen i verktyg och inriktning såg vi också flera likheter mellan Solar-bakdörren och bakdörrarna som används i Out to Sea, mestadels relaterade till uppladdning och nedladdning: både Solar och Shark, en annan OilRig-bakdörr, använder URI:er med enkla upp- och nedladdningsscheman att kommunicera med C&C-servern, med ett "d" för nedladdning och ett "u" för uppladdning; dessutom använder nedladdaren SC5k uppladdningar och nedladdningar underkataloger precis som andra OilRig-bakdörrar, nämligen ALMA, Shark, DanBot och Milan. Dessa fynd fungerar som en ytterligare bekräftelse på att boven bakom Outer Space verkligen är OilRig.
När det gäller Juicy Mix-kampanjens band till OilRig, förutom att rikta sig mot israeliska organisationer – vilket är typiskt för denna spionagegrupp – finns det kodlikheter mellan Mango, bakdörren som används i denna kampanj, och Solar. Dessutom var båda bakdörrarna utplacerade av VBS-droppare med samma teknik för fördunkling av strängar. Valet av verktyg efter kompromiss som används i Juicy Mix speglar också tidigare OilRig-kampanjer.
Översikt över Outer Space-kampanjen
Uppkallad efter användningen av ett astronomibaserat namnschema i dess funktionsnamn och uppgifter, är Outer Space en OilRig-kampanj från 2021. I denna kampanj äventyrade gruppen en israelisk personalwebbplats och använde den sedan som en C&C-server för sin tidigare odokumenterad C#/.NET-bakdörr, Solar. Solar är en enkel bakdörr med grundläggande funktioner som läsning och skrivning från disk och insamling av information.
Genom Solar distribuerade gruppen sedan en ny nedladdare SC5k, som använder Office Exchange Web Services API för att ladda ner ytterligare verktyg för exekvering, som visas i REF _Ref142655526 h Figur 1
. För att exfiltrera webbläsardata från offrets system använde OilRig en Chrome-datadumper som heter MKG.
Juicy Mix-kampanjöversikt
2022 lanserade OilRig ytterligare en kampanj riktad mot israeliska organisationer, denna gång med en uppdaterad verktygsuppsättning. Vi döpte kampanjen till Juicy Mix för användningen av en ny OilRig-bakdörr, Mango (baserat på dess interna sammansättningsnamn och dess filnamn, Mango.exe). I den här kampanjen äventyrade hotaktörerna en legitim israelisk jobbportalwebbplats för användning i C&C-kommunikation. Gruppens skadliga verktyg sattes sedan ut mot en vårdorganisation, även den baserad i Israel.
Mangos första stegs bakdörr är en efterföljare till Solar, även skriven i C#/.NET, med anmärkningsvärda förändringar som inkluderar exfiltreringsmöjligheter, användning av inbyggda API:er och tillagd kod för upptäcktsflykt.
Tillsammans med Mango upptäckte vi också två tidigare odokumenterade webbläsardatadumprar som används för att stjäla cookies, webbhistorik och referenser från webbläsarna Chrome och Edge, och en Windows Credential Manager-stöldare, som vi tillskriver OilRig. Dessa verktyg användes alla mot samma mål som Mango, såväl som mot andra komprometterade israeliska organisationer under 2021 och 2022. REF _Ref125475515 h Figur 2
visar en översikt över hur de olika komponenterna användes i Juicy Mix-kampanjen.
Teknisk analys
I det här avsnittet tillhandahåller vi en teknisk analys av Solar- och Mango-bakdörrarna och SC5k-nedladdaren, såväl som andra verktyg som distribuerades till de riktade systemen i dessa kampanjer.
VBS droppare
För att etablera ett fotfäste på målets system, användes Visual Basic Script (VBS) droppers i båda kampanjerna, som med stor sannolikhet spreds av spearphishing-e-postmeddelanden. Vår analys nedan fokuserar på VBS-skriptet som används för att släppa Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); notera att Solars dropper är väldigt lik.
Dropperns syfte är att leverera den inbäddade Mango-bakdörren, schemalägga en uppgift för uthållighet och registrera kompromissen med C&C-servern. Den inbäddade bakdörren lagras som en serie av base64-delsträngar, som är sammanlänkade och base64-avkodade. Som visas i REF _Ref125477632 h Figur 3
, använder skriptet också en enkel strängdeobfuskeringsteknik, där strängar sätts samman med aritmetiska operationer och före Kristus funktion.
Utöver det lägger Mangos VBS dropper till en annan typ av strängobfuskation och kod för att ställa in beständighet och registrera sig på C&C-servern. Som visas i REF _Ref125479004 h * MERGEFORMAT Figur 4
, för att deobfuskera vissa strängar, ersätter skriptet alla tecken i uppsättningen #*+-_)(}{@$%^& med 0, delar sedan upp strängen i tresiffriga tal som sedan konverteras till ASCII-tecken med hjälp av före Kristus
fungera. Till exempel strängen 116110101109117+99111$68+77{79$68}46-50108109120115}77 översätter till Msxml2.DOMDocument.
När bakdörren är inbäddad i systemet, går dropparen vidare för att skapa en schemalagd uppgift som kör Mango (eller Solar, i den andra versionen) var 14:e minut. Slutligen skickar skriptet ett base64-kodat namn på den komprometterade datorn via en POST-begäran för att registrera bakdörren med dess C&C-server.
Solar bakdörr
Solar är bakdörren som används i OilRigs Outer Space-kampanj. Denna bakdörr har grundläggande funktioner och kan användas för att bland annat ladda ner och exekvera filer och automatiskt exfiltrera stegade filer.
Vi valde namnet Solar baserat på filnamnet som används av OilRig, Solar.exe. Det är ett passande namn eftersom bakdörren använder ett astronominamnschema för sina funktionsnamn och uppgifter som används i hela binären (kvicksilver, venus, mars, Jordoch Jupiter).
Solar börjar köra genom att utföra stegen som visas i REF _Ref98146919 h * MERGEFORMAT Figur 5
.
Bakdörren skapar två uppgifter, Jord
och venus, som körs i minnet. Det finns ingen stoppfunktion för någon av de två uppgifterna, så de kommer att köras på obestämd tid. Jord
är planerad att köras var 30:e sekund och venus
är inställd på att köras var 40:e sekund.
Jord är den primära uppgiften, ansvarig för huvuddelen av Solars funktioner. Den kommunicerar med C&C-servern med hjälp av funktionen MercuryToSun, som skickar grundläggande system- och malwareversionsinformation till C&C-servern och sedan hanterar serverns svar. Jord skickar följande information till C&C-servern:
- Tråden (@); hela strängen är krypterad.
- Tråden 1.0.0.0, krypterad (möjligen ett versionsnummer).
- Tråden 30000, krypterad (möjligen den schemalagda körtiden för Jord
Kryptering och dekryptering implementeras i namngivna funktioner JupiterE
och JupiterD, respektive. Båda kallar en funktion som heter JupiterX, som implementerar en XOR-loop som visas i REF _Ref98146962 h Figur 6
.
Nyckeln härleds från en hårdkodad global strängvariabel, 6sEj7*0B7#7Och en nuncio: i det här fallet en slumpmässig hexadecimal sträng på 2–24 tecken. Efter XOR-krypteringen tillämpas standardbase64-kodning.
Ett israeliskt personalföretags webbserver, som OilRig komprometterade någon gång innan Solar distribuerades, användes som C&C-server:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Innan den läggs till i URI:n krypteras inte krypteringen, och värdet på den initiala frågesträngen, rt, är satt till d här, troligen för "nedladdning".
Det sista steget i MercuryToSun
Funktionen är att bearbeta ett svar från C&C-servern. Det gör det genom att hämta en delsträng av svaret, som finns mellan tecknen QQ@ och @kk. Det här svaret är en rad instruktioner separerade med asterisker (*) som bearbetas till en array. Jord
utför sedan bakdörrskommandona, som inkluderar nedladdning av ytterligare nyttolaster från servern, listning av filer på offrets system och körning av specifika körbara filer.
Kommandoutgång gzip komprimeras sedan med funktionen Neptune
och krypterad med samma krypteringsnyckel och en ny nonce. Sedan laddas resultaten upp till C&C-servern, så här:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid och den nya nonce är krypterad med JupiterE
funktion, och här värdet av rt är inställd på u, troligen för "uppladdning".
venus, den andra schemalagda uppgiften, används för automatisk dataexfiltrering. Denna lilla uppgift kopierar innehållet i filer från en katalog (även kallad venus) till C&C-servern. Dessa filer släpps troligen här av något annat, ännu oidentifierat, OilRig-verktyg. Efter att ha laddat upp en fil raderas den från disken.
Mango bakdörr
För sin Juicy Mix-kampanj bytte OilRig från Solar-bakdörren till Mango. Den har ett liknande arbetsflöde som Solar och överlappande funktioner, men det finns ändå flera anmärkningsvärda förändringar:
- Användning av TLS för C&C-kommunikation.
- Användning av inbyggda API:er, snarare än .NET API:er, för att köra filer och skalkommandon.
- Även om den inte användes aktivt, infördes kod för upptäcktsflykt.
- Stöd för automatisk exfiltrering (venus
- Stöd för loggläge har tagits bort och symbolnamn har fördunklats.
I motsats till Solars namnschema med astronomi-tema fördunklar Mango dess symbolnamn, vilket kan ses i REF _Ref142592880 h Figur 7
.
Förutom fördunklingen av symbolnamnet använder Mango också strängstaplingsmetoden (som visas i REF _Ref142592892 h Figur 8
REF _Ref141802299 h
) för att fördunkla strängar, vilket komplicerar användningen av enkla detektionsmetoder.
I likhet med Solar börjar Mango-bakdörren med att skapa en minnesuppgift, planerad att köras på obestämd tid var 32:e sekund. Den här uppgiften kommunicerar med C&C-servern och kör bakdörrskommandon, liknande Solars Jord
uppgift. Medan Solar också skapar venus, en uppgift för automatisk exfiltrering, har denna funktion ersatts i Mango av ett nytt bakdörrskommando.
I huvuduppgiften genererar Mango först en offeridentifierare, , som ska användas i C&C-kommunikation. ID:t beräknas som en MD5-hash av , formaterad som en hexadecimal sträng.
För att begära ett bakdörrskommando skickar Mango sedan strängen d@ @ | till C&C-servern http://www.darush.co[.]il/ads.asp – en legitim israelisk jobbportal, troligen äventyrad av OilRig före denna kampanj. Vi meddelade den israeliska nationella CERT-organisationen om kompromissen.
Begäran är uppbyggd enligt följande:
- Datan som ska överföras är XOR-krypterad med hjälp av krypteringsnyckeln F&4g, sedan base64-kodad.
- En pseudoslumpmässig sträng på 3–14 tecken genereras från detta alfabet (som det visas i koden): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Den krypterade datan infogas i en pseudoslumpmässig position inom den genererade strängen, innesluten mellan [@ och @] avgränsare.
För att kommunicera med sin C&C-server använder Mango TLS-protokollet (Transport Layer Security), som används för att tillhandahålla ett extra lager av kryptering.
På liknande sätt är bakdörrskommandot som tas emot från C&C-servern XOR-krypterad, base64-kodad och sedan innesluten mellan [@ och @] i HTTP-svarskroppen. Kommandot i sig är antingen NCNT
(i vilket fall ingen åtgärd vidtas), eller en sträng med flera parametrar avgränsade av
@, som beskrivs i REF _Ref125491491 h Bord 1
, som listar Mangos bakdörrskommandon. Anteckna det finns inte med i tabellen, men används i svaret till C&C-servern.
Tabell 1. Lista över Mangos bakdörrskommandon
arg1 |
arg2 |
arg3 |
Åtgärder som vidtagits |
Returvärde |
|
1 eller tom sträng |
+sp |
N / A |
Kör det angivna fil-/skalkommandot (med de valfria argumenten), med hjälp av det ursprungliga Createprocess API importerat via DllImport. Om argumenten innehåller [S], den ersätts av C: WindowsSystem32. |
Kommandoutgång. |
|
+nu |
N / A |
Returnerar strängen för skadlig programvara och C&C URL. |
|; I detta fall: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Räknar upp innehållet i den angivna katalogen (eller nuvarande arbetskatalog). |
Katalog över För varje underkatalog:
För varje fil: FIL Dir(er) Fil(er) |
||
+dn |
N / A |
Laddar upp filinnehållet till C&C-servern via en ny HTTP POST-begäran formaterad: u@ @ | @ @2@. |
En av: · fil[ ] laddas upp till servern. · filen hittades inte! · filsökväg tom! |
||
2 |
Base64-kodad data |
Filnamn |
Dumpar angivna data till en fil i arbetskatalogen. |
fil nedladdad till sökväg[ ] |
Varje bakdörrskommando hanteras i en ny tråd, och deras returvärden baseras sedan och kombineras med annan metadata. Slutligen skickas den strängen till C&C-servern med samma protokoll och krypteringsmetod som beskrivs ovan.
Oanvänd teknik för detektionsundandragande
Intressant nog hittade vi en oanvänd teknik för upptäcktsundandragande inom Mango. Funktionen som ansvarar för att utföra filer och kommandon som laddas ner från C&C-servern tar en valfri andra parameter – ett process-ID. Om inställt, använder Mango sedan UpdateProcThreadAttribute
API för att ställa in PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) attribut för den angivna processen till värde: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), som visas i REF _Ref125480118 h Figur 9
.
Denna tekniks mål är att blockera slutpunktssäkerhetslösningar från att ladda deras användarlägeskodhakar via en DLL i denna process. Även om parametern inte användes i provet vi analyserade, kan den aktiveras i framtida versioner.
version 1.1.1
Utan anknytning till Juicy Mix-kampanjen hittade vi i juli 2023 en ny version av Mango-bakdörren (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), laddas upp till VirusTotal av flera användare under namnet Menorah.exe. Den interna versionen i detta exempel ändrades från 1.0.0 till 1.1.1, men den enda anmärkningsvärda förändringen är användningen av en annan C&C-server, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Tillsammans med den här versionen upptäckte vi också ett Microsoft Word-dokument (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) med ett skadligt makro som släpper bakdörren. REF _Ref143162004 h Figur 10
visar det falska varningsmeddelandet, som lockar användaren att aktivera makron för dokumentet, och lockbetsinnehållet som visas efteråt, medan den skadliga koden körs i bakgrunden.
Figur 10. Microsoft Word-dokument med ett skadligt makro som släpper Mango v1.1.1
Verktyg efter kompromisser
I det här avsnittet granskar vi ett urval av verktyg efter kompromiss som används i OilRigs Outer Space och Juicy Mix-kampanjer, som syftar till att ladda ner och köra ytterligare nyttolaster, och stjäla data från de kompromissade systemen.
SampleCheck5000 (SC5k) nedladdningsprogram
SampleCheck5000 (eller SC5k) är ett nedladdningsprogram som används för att ladda ner och köra ytterligare OilRig-verktyg, känd för att använda Microsoft Office Exchange Web Services API för C&C-kommunikation: angriparna skapar utkastmeddelanden i det här e-postkontot och gömmer bakdörrskommandona där. Därefter loggar nedladdaren in på samma konto och analyserar utkasten för att hämta kommandon och nyttolaster att köra.
SC5k använder fördefinierade värden – Microsoft Exchange URL, e-postadress och lösenord – för att logga in på den fjärranslutna Exchange-servern, men den stöder också alternativet att åsidosätta dessa värden med hjälp av en konfigurationsfil i den aktuella arbetskatalogen med namnet setting.key. Vi valde namnet SampleCheck5000 baserat på en av e-postadresserna som verktyget använde i Outer Space-kampanjen.
När SC5k loggar in på den fjärranslutna Exchange-servern, hämtar den alla e-postmeddelanden i Utkast
katalogen, sorterar dem efter senaste, och behåller endast de utkast som har bilagor. Den itererar sedan över varje utkast till meddelande med en bilaga och letar efter JSON-bilagor som innehåller "data" i kroppen. Det extraherar värdet från nyckeln datum i JSON-filen avkodar och dekrypterar base64 värdet och anropar cmd.exe för att köra den resulterande kommandoradssträngen. SC5k sparar sedan utdata från cmd.exe
exekvering till en lokal variabel.
Som nästa steg i slingan rapporterar nedladdaren resultaten till OilRig-operatörerna genom att skapa ett nytt e-postmeddelande på Exchange-servern och spara det som ett utkast (sänder inte), som visas i REF _Ref98147102
h * MERGEFORMAT Figur 11
. En liknande teknik används för att exfiltrera filer från en lokal mellanlagringsmapp. Som det sista steget i slingan loggar SC5k även kommandoutmatningen i ett krypterat och komprimerat format på disk.
Webbläsardatadumprar
Det är karakteristiskt för OilRig-operatörer att använda webbläsardatadumprar i sina aktiviteter efter kompromisser. Vi upptäckte två nya webbläsardatastöldare bland verktygen efter kompromiss som används i Juicy Mix-kampanjen tillsammans med Mango-bakdörren. De dumpar stulna webbläsardata i % TEMP% katalog till filer med namn Cupdate
och Uppdatering
(därav våra namn på dem: CDumper och EDumper).
Båda verktygen är C#/.NET-webbläsardatastjälare, som samlar in cookies, webbhistorik och referenser från webbläsarna Chrome (CDumper) och Edge (EDumper). Vi fokuserar vår analys på CDumper, eftersom båda stjälarna är praktiskt taget identiska, med undantag för några konstanter.
När den körs skapar CDumper en lista över användare med Google Chrome installerat. Vid körning ansluter stjälaren till Chrome SQLite Cookies, historik
och Inloggningsdata databaser under %APPDATA%LocalGoogleChromeAnvändardata, och samlar in webbläsardata inklusive besökta webbadresser och sparade inloggningar, med hjälp av SQL-frågor.
Cookievärdena dekrypteras sedan och all insamlad information läggs till i en loggfil med namnet C: Användare AppDataLocalTempCupdate, i klartext. Denna funktionalitet implementeras i CDumper-funktioner med namnet CookieGrab
(Se REF _Ref126168131 h Figur 12
), HistoryGrab, och Password Grab. Observera att det inte finns någon exfiltreringsmekanism implementerad i CDumper, men Mango kan exfiltrera utvalda filer via ett bakdörrskommando.
I både yttre rymden och tidigare Ut till havet kampanj använde OilRig en C/C++ Chrome-datadumper som heter MKG. Liksom CDumper och EDumper kunde MKG också stjäla användarnamn och lösenord, webbhistorik och cookies från webbläsaren. Denna Chrome-datadumper distribueras vanligtvis på följande filplatser (där den första platsen är den vanligaste):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Credential Manager stealer
Förutom verktyg för dumpning av webbläsardata, använde OilRig också en Windows Credential Manager-stöldare i Juicy Mix-kampanjen. Det här verktyget stjäl autentiseringsuppgifter från Windows Credential Manager, och i likhet med CDumper och EDumper lagras dem i % TEMP% katalog – den här gången till en fil med namnet IUpdate
(därav namnet IDumper). Till skillnad från CDumper och EDumper är IDumper implementerat som ett PowerShell-skript.
Precis som med webbläsardumparverktygen är det inte ovanligt att OilRig samlar in referenser från Windows Credential Manager. Tidigare observerades OilRigs operatörer med VALUEVAULT, en allmänt tillgängligt, Go-kompilerade autentiseringsstöldverktyg (se 2019 HardPass-kampanj och en 2020-kampanjen), i samma syfte.
Slutsats
OilRig fortsätter att förnya och skapa nya implantat med bakdörrsliknande funktioner samtidigt som man hittar nya sätt att utföra kommandon på fjärrsystem. Gruppen förbättrade sin C#/.NET Solar-bakdörr från Outer Space-kampanjen för att skapa en ny bakdörr som heter Mango för Juicy Mix-kampanjen. Gruppen distribuerar en uppsättning anpassade verktyg efter kompromiss som används för att samla in autentiseringsuppgifter, cookies och webbhistorik från stora webbläsare och från Windows Credential Manager. Trots dessa innovationer fortsätter OilRig också att förlita sig på etablerade sätt att skaffa användardata.
För eventuella frågor om vår forskning publicerad på WeLiveSecurity, vänligen kontakta oss på hotintel@eset.com.
ESET Research erbjuder privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.
IOCS
Filer
SHA-1 |
Filnamn |
ESET-detekteringsnamn |
Beskrivning |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Dokument med skadlig makro som släpper Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS droppare. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Solar bakdörr. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Mango bakdörr (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Mango bakdörr (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Kantdatadumper. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Chrome datadumper. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper för Windows Credential Manager. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome datadumper. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome datadumper. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome datadumper. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k-nedladdare (32-bitarsversion). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k-nedladdare (64-bitarsversion). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
nod.exe |
MSIL/OilRig.D |
SC5k-nedladdare (64-bitarsversion). |
nätverks
IP |
Domän |
Värdleverantör |
Först sett |
Detaljer |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
MITER ATT & CK tekniker
Detta bord byggdes med hjälp av version 13 av MITER ATT & CK -ramverket.
Taktik |
ID |
Namn |
Beskrivning |
Resursutveckling |
Kompromissa med infrastruktur: Server |
I både Outer Space och Juicy Mix-kampanjer har OilRig äventyrat legitima webbplatser för att iscensätta skadliga verktyg och för C&C-kommunikation. |
|
Utveckla förmågor: Malware |
OilRig har utvecklat skräddarsydda bakdörrar (Solar och Mango), en nedladdare (SC5k) och en uppsättning av identitetsstöldverktyg för användning i dess verksamhet. |
||
Stagefunktioner: Ladda upp skadlig programvara |
OilRig har laddat upp skadliga komponenter till sina C&C-servrar och lagrat förlagrade filer och kommandon i Utkast e-postkatalog för ett Office 365-konto för SC5k att ladda ner och köra. |
||
Scenfunktioner: Uppladdningsverktyg |
OilRig har laddat upp skadliga verktyg till sina C&C-servrar och lagrat förlagrade filer i Utkast e-postkatalog för ett Office 365-konto för SC5k att ladda ner och köra. |
||
Initial åtkomst |
Nätfiske: Spearphishing-bilaga |
OilRig distribuerade förmodligen sina Outer Space- och Juicy Mix-kampanjer via nätfiske-e-postmeddelanden med deras VBS-droppare bifogade. |
|
Utförande |
Schemalagd uppgift/jobb: Schemalagd uppgift |
OilRigs IDumper-, EDumper- och CDumper-verktyg använder schemalagda uppgifter med namn dvs, ed , och cu att utföra sig själva under andra användares sammanhang. Solar och Mango använder en C#/.NET-uppgift på en timer för att iterativt utföra sina huvudfunktioner. |
|
Kommando- och skripttolk: PowerShell |
OilRigs IDumper-verktyg använder PowerShell för exekvering. |
||
Kommando- och skripttolk: Windows Command Shell |
OilRigs användning av Solar, SC5k, IDumper, EDumper och CDumper cmd.exe för att utföra uppgifter på systemet. |
||
Kommando- och skripttolk: Visual Basic |
OilRig använder ett skadligt VBScript för att leverera och bevara dess bakdörrar från Solar och Mango. |
||
Native API |
OilRigs Mango-bakdörr använder Createprocess Windows API för exekvering. |
||
Persistens |
Schemalagd uppgift/jobb: Schemalagd uppgift |
OilRigs VBS dropper schemalägger en uppgift med namnet Påminnelseuppgift att etablera uthållighet för Mango-bakdörren. |
|
Försvarsflykt |
Maskerad: Match legitimt namn eller plats |
OilRig använder legitima eller ofarliga filnamn för sin skadliga programvara för att dölja sig från försvarare och säkerhetsprogramvara. |
|
Obfuskerade filer eller information: Programvarupaketering |
OilRig har använt SAPIEN Script Packager och SmartAssembly obfuscator för att fördunkla dess IDumper-verktyg. |
||
Obfuskerade filer eller information: Inbäddade nyttolaster |
OilRigs VBS-droppare har skadliga nyttolaster inbäddade i dem som en serie base64-delsträngar. |
||
Maskerad: Maskeraduppgift eller tjänst |
För att framstå som legitim schemalägger Mangos VBS dropper en uppgift med beskrivningen Starta anteckningsblocket vid en viss tidpunkt. |
||
Indikatorborttagning: Clear Persistence |
OilRigs verktyg efter kompromiss tar bort sina schemalagda uppgifter efter en viss tidsperiod. |
||
Deobfuskera/avkoda filer eller information |
OilRig använder flera obfuskationsmetoder för att skydda sina strängar och inbäddade nyttolaster. |
||
Omgärda förtroendekontroller |
SC5k använder Office 365, vanligtvis en pålitlig tredje part och ofta förbises av försvarare, som en nedladdningssida. |
||
Försämra försvaret |
OilRigs Mango-bakdörr har en (ännu) oanvänd förmåga att blockera slutpunktssäkerhetslösningar från att ladda deras användarlägeskod i specifika processer. |
||
Legitimationsåtkomst |
Inloggningsuppgifter från lösenordsbutiker: Inloggningsuppgifter från webbläsare |
OilRigs anpassade verktyg MKG, CDumper och EDumper kan hämta inloggningsuppgifter, cookies och webbhistorik från webbläsarna Chrome och Edge. |
|
Inloggningsuppgifter från lösenordsbutiker: Windows Credential Manager |
OilRigs anpassade referensdumpningsverktyg IDumper kan stjäla referenser från Windows Credential Manager. |
||
Discovery |
Systeminformation upptäckt |
Mango får det komprometterade datornamnet. |
|
Arkiv- och katalogupptäckt |
Mango har ett kommando för att räkna upp innehållet i en specificerad katalog. |
||
Systemägare/användarupptäckt |
Mango får offrets användarnamn. |
||
Kontoupptäckt: Lokalt konto |
OilRigs EDumper-, CDumper- och IDumper-verktyg kan räkna upp alla användarkonton på den komprometterade värden. |
||
Upptäckt webbläsarinformation |
MKG dumpar Chrome-historik och bokmärken. |
||
Command and Control |
Application Layer Protocol: webbprotokoll |
Mango använder HTTP i C&C-kommunikation. |
|
Ingress Tool Transfer |
Mango har förmågan att ladda ner ytterligare filer från C&C-servern för efterföljande exekvering. |
||
Dataobfuskation |
Solar och SC5k använder en enkel XOR-krypteringsmetod tillsammans med gzip-komprimering för att fördunkla data i vila och under överföring. |
||
Webbtjänst: Dubbelriktad kommunikation |
SC5k använder Office 365 för att ladda ner filer från och ladda upp filer till Utkast katalog i ett legitimt e-postkonto. |
||
Datakodning: Standardkodning |
Solar, Mango och MKG base64 avkodar data innan de skickas till C&C-servern. |
||
Krypterad kanal: Symmetrisk kryptografi |
Mango använder ett XOR-chiffer med nyckeln F&4g för att kryptera data i C&C-kommunikation. |
||
Krypterad kanal: Asymmetrisk kryptografi |
Mango använder TLS för C&C-kommunikation. |
||
exfiltration |
Exfiltrering över C2 -kanal |
Mango, Solar och SC5k använder sina C&C-kanaler för exfiltrering. |
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Able
- Om Oss
- ovan
- Konto
- konton
- Handling
- aktiv
- aktivt
- aktiviteter
- aktörer
- lagt till
- Dessutom
- Annat
- Dessutom
- adress
- adresser
- Lägger
- Efter
- efteråt
- mot
- Recensioner
- syftar
- Alla
- tillåts
- ALMA
- längs
- vid sidan av
- Alfabetet
- också
- bland
- an
- analys
- analyseras
- och
- Annan
- vilken som helst
- api
- API: er
- visas
- visas
- tillämpas
- APT
- arab
- Arabemiraten
- arkiv
- ÄR
- argument
- array
- AS
- sammansatta
- Montage
- astronomi
- At
- Attacker
- Automatiserad
- automatiskt
- bakdörr
- Bakdörrar
- bakgrund
- baserat
- grundläggande
- BE
- varit
- innan
- började
- bakom
- Där vi får lov att vara utan att konstant prestera,
- nedan
- förutom
- mellan
- Blockera
- kropp
- bokmärken
- båda
- webbläsare
- webbläsare
- Bläddrar
- byggt
- företag
- men
- by
- Ring
- kallas
- Samtal
- Kampanj
- Kampanjer
- KAN
- kapacitet
- kapacitet
- genom
- Vid
- vissa
- byta
- ändrats
- Förändringar
- Kanal
- kanaler
- karakteristiska
- tecken
- kemisk
- val
- valde
- krom
- chiffer
- klar
- koda
- samla
- Samla
- COM
- kombinerad
- Gemensam
- vanligen
- kommunicera
- Kommunikation
- Trygghet i vårdförloppet
- Företagets
- komponenter
- kompromiss
- Äventyras
- dator
- konfiguration
- bekräftelse
- Kontakta
- ansluter
- kontakta
- innehålla
- innehåll
- sammanhang
- fortsatte
- fortsätter
- konverterad
- Cookiepolicy
- kunde
- skapa
- skapar
- Skapa
- skapande
- CREDENTIAL
- referenser
- Aktuella
- beställnings
- datum
- databaser
- Avkryptera
- Försvararna
- leverera
- distribuera
- utplacerade
- utplacera
- vecklas ut
- Härledd
- beskriven
- beskrivning
- Trots
- detaljerad
- detekterad
- Detektering
- utvecklade
- olika
- upptäckt
- Upptäckten
- visas
- distribueras
- delar upp
- dokumentera
- gör
- ladda ner
- Nedladdningar
- utkast
- Drop
- tappade
- Drop
- Droppar
- dumpa
- varje
- Tidigare
- öster
- östra
- kant
- antingen
- e
- inbäddade
- Emirates
- anställd
- möjliggöra
- krypterad
- kryptering
- Slutpunkt
- Slutpunktsäkerhet
- energi
- lockande
- spionage
- etablera
- etablerade
- skatteflykt
- Varje
- exempel
- utbyta
- uteslutande
- exekvera
- exekveras
- Utför
- exekvera
- utförande
- exfiltrering
- extrakt
- fejka
- Fil
- Filer
- Slutligen
- finansiella
- finna
- resultat
- Förnamn
- montering
- flöda
- Fokus
- fokuserar
- efter
- följer
- För
- format
- hittade
- Ramverk
- från
- från 2021
- fungera
- funktionaliteter
- funktionalitet
- funktioner
- ytterligare
- framtida
- samla
- allmänhet
- genereras
- genererar
- Välgörenhet
- Målet
- Google Chrome
- Regeringen
- Regeringar
- Grupp
- Gruppens
- Handtag
- hash
- Har
- hälso-och sjukvård
- därav
- här.
- HEX
- Dölja
- historia
- krokar
- värd
- Hur ser din drömresa ut
- html
- http
- HTTPS
- humant
- Human Resources
- ID
- identiska
- identifierare
- if
- bild
- genomföras
- redskap
- förbättras
- in
- innefattar
- Inklusive
- ja
- info
- informationen
- Infrastruktur
- inledande
- förnya
- innovationer
- förfrågningar
- installerad
- istället
- instruktioner
- Intelligens
- inre
- in
- introducerade
- Iran
- Israel
- IT
- DESS
- sig
- Jobb
- json
- Juli
- bara
- hålla
- Nyckel
- känd
- Efternamn
- lanserades
- lager
- t minst
- libanon
- vänster
- legitim
- tycka om
- sannolikt
- linje
- LINK
- Lista
- Noterade
- lista
- listor
- läser in
- lokal
- läge
- platser
- log
- Lång
- du letar
- Maskinen
- Makro
- makron
- Huvudsida
- större
- malware
- chef
- Marlin
- maskerad
- Match
- MD5
- mekanism
- Minne
- nämnts
- meddelande
- meddelanden
- metadata
- metod
- metoder
- Microsoft
- Mitten
- Mellanöstern
- MILAN
- millisekunder
- minuter
- Blanda
- Mode
- Dessutom
- mest
- för det mesta
- förflyttar
- multipel
- namn
- Som heter
- nämligen
- namn
- namngivning
- nationell
- nativ
- netto
- Icke desto mindre
- Nya
- Nästa
- NIST
- Nej
- anmärkningsvärd
- i synnerhet
- antal
- nummer
- få
- erhåller
- inträffade
- of
- Erbjudanden
- Office
- Ofta
- on
- ONE
- endast
- Verksamhet
- operatörer
- Alternativet
- or
- beställa
- organisation
- organisationer
- Övriga
- vår
- ut
- yttre rymden
- produktion
- över
- åsidosätta
- Översikt
- sida
- parameter
- parametrar
- parti
- Lösenord
- lösenord
- bana
- utför
- perioden
- persistens
- Nätfiske
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- Punkt
- poäng
- Portal
- placera
- eventuellt
- Inlägg
- Power
- praktiskt taget
- företrädare
- föregående
- tidigare
- primär
- privat
- förmodligen
- process
- Bearbetad
- processer
- Produkt
- skydda
- protokoll
- ge
- publicerade
- Syftet
- sökfrågor
- slumpmässig
- snarare
- Läsning
- mottagna
- senaste
- registrera
- relaterad
- förlita
- avlägsen
- avlägsnande
- avlägsnas
- ersättas
- rapport
- Rapport
- begära
- forskning
- forskare
- Resurser
- respektive
- respons
- ansvarig
- REST
- resulterande
- Resultat
- avkastning
- översyn
- rik
- Körning
- rinnande
- s
- Samma
- Save
- sparade
- sparande
- såg
- tidtabellen
- planerad
- ordningen
- system
- skript
- HAV
- Andra
- sekunder
- §
- Sektorer
- säkerhet
- se
- sett
- vald
- Val
- skicka
- sänder
- skickas
- Serier
- tjänar
- server
- Servrar
- service
- Tjänster
- in
- flera
- Haj
- Shell
- visas
- Visar
- liknande
- Likheterna
- Enkelt
- eftersom
- webbplats
- Small
- So
- Mjukvara
- sol-
- Lösningar
- några
- Utrymme
- specifik
- specificerade
- spridning
- stapling
- Etapp
- staging
- standard
- startar
- stjäl
- Steg
- Steg
- stulna
- Sluta
- lagras
- lagrar
- Sträng
- senare
- Senare
- sådana
- Stöder
- bytte
- Symbolen
- system
- System
- bord
- tagen
- tar
- Målet
- riktade
- targeting
- mål
- uppgift
- uppgifter
- Teknisk
- teknisk analys
- telekommunikationer
- än
- den där
- Smakämnen
- deras
- Dem
- sig själva
- sedan
- Där.
- Dessa
- de
- saker
- Tredje
- detta
- hot
- hotaktörer
- Hotrapport
- hela
- Således
- omintetgöra
- Slipsar
- tid
- Titel
- till
- verktyg
- verktyg
- topp
- transitering
- transport
- Litar
- betrodd
- två
- Typ
- typisk
- typiskt
- Ovanlig
- under
- United
- Förenade Arabien
- Förenade arabemiraten
- till skillnad från
- oanvänd
- uppdaterad
- uppladdad
- uppladdning
- på
- URL
- us
- användning
- Begagnade
- Användare
- användare
- användningar
- med hjälp av
- v1
- värde
- Värden
- variabel
- mängd
- olika
- version
- versionsinformation
- versioner
- vertikaler
- mycket
- via
- Victim
- offer
- Besök
- besökta
- varning
- var
- sätt
- we
- webb
- webbserver
- webbservice
- Webbplats
- webbsidor
- VÄL
- były
- som
- medan
- Hela
- bredd
- kommer
- fönster
- med
- inom
- ord
- arbetsflöde
- arbetssätt
- skrivning
- skriven
- ja
- ännu
- zephyrnet