นักวิจัยของ ESET ได้วิเคราะห์สองแคมเปญโดยกลุ่ม OilRig APT: Outer Space (2021) และ Juicy Mix (2022) แคมเปญจารกรรมทางไซเบอร์ทั้งสองนี้กำหนดเป้าหมายไปที่องค์กรของอิสราเอลโดยเฉพาะ ซึ่งสอดคล้องกับการมุ่งเน้นของกลุ่มในตะวันออกกลาง และใช้แนวทางเดียวกัน: OilRig บุกรุกเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อใช้เป็นเซิร์ฟเวอร์ C&C จากนั้นจึงใช้ VBS droppers เพื่อส่งมอบ C# /.NET แบ็คดอร์ไปยังเหยื่อ ในขณะเดียวกันก็ใช้เครื่องมือหลังการประนีประนอมที่หลากหลาย ซึ่งส่วนใหญ่ใช้สำหรับการขโมยข้อมูลบนระบบเป้าหมาย
ในแคมเปญ Outer Space นั้น OilRig ใช้แบ็คดอร์ C#/.NET ที่เรียบง่ายซึ่งก่อนหน้านี้ไม่มีเอกสาร ซึ่งเราตั้งชื่อว่า Solar พร้อมด้วยตัวดาวน์โหลดใหม่ SampleCheck5000 (หรือ SC5k) ซึ่งใช้ Microsoft Office Exchange Web Services API สำหรับการสื่อสาร C&C สำหรับแคมเปญ Juicy Mix ผู้คุกคามได้ปรับปรุงบน Solar เพื่อสร้างประตูหลัง Mango ซึ่งมีความสามารถเพิ่มเติมและวิธีการสร้างความสับสน นอกเหนือจากการตรวจจับชุดเครื่องมือที่เป็นอันตรายแล้ว เรายังแจ้ง CERT ของอิสราเอลเกี่ยวกับเว็บไซต์ที่ถูกบุกรุกอีกด้วย
ประเด็นสำคัญของบล็อกโพสต์นี้:
- ESET สังเกตแคมเปญ OilRig สองแคมเปญซึ่งเกิดขึ้นตลอดปี 2021 (นอกอวกาศ) และปี 2022 (Juicy Mix)
- ผู้ดำเนินการกำหนดเป้าหมายเฉพาะองค์กรของอิสราเอลและบุกรุกเว็บไซต์ที่ถูกต้องตามกฎหมายของอิสราเอลเพื่อใช้ในการสื่อสาร C&C
- พวกเขาใช้แบ็คดอร์ขั้นแรก C#/.NET ที่ไม่มีเอกสารก่อนหน้านี้ในแต่ละแคมเปญ: Solar in Outer Space จากนั้นเป็นรุ่นต่อจาก Mango ใน Juicy Mix
- แบ็คดอร์ทั้งสองถูกใช้งานโดย VBS droppers ซึ่งสันนิษฐานว่าแพร่กระจายผ่านอีเมลฟิชชิ่ง
- มีการใช้เครื่องมือหลังการประนีประนอมที่หลากหลายในทั้งสองแคมเปญ โดยเฉพาะตัวดาวน์โหลด SC5k ที่ใช้ Microsoft Office Exchange Web Services API สำหรับการสื่อสาร C&C และเครื่องมือหลายอย่างในการขโมยข้อมูลเบราว์เซอร์และข้อมูลประจำตัวจาก Windows Credential Manager
OilRig หรือที่รู้จักในชื่อ APT34, Lyceum หรือ Siamesekitten เป็นกลุ่มจารกรรมทางไซเบอร์ที่มีการใช้งานมาอย่างน้อยตั้งแต่ปี 2014 และ เป็นที่เชื่อกันโดยทั่วไป ที่จะตั้งอยู่ในอิหร่าน กลุ่มนี้ตั้งเป้าไปที่รัฐบาลในตะวันออกกลางและธุรกิจแนวดิ่งที่หลากหลาย รวมถึงเคมีภัณฑ์ พลังงาน การเงิน และโทรคมนาคม OilRig ดำเนินการรณรงค์ DNSpionage ใน 2018 และ 2019ซึ่งมุ่งเป้าไปที่เหยื่อในเลบานอนและสหรัฐอาหรับเอมิเรตส์ ในปี 2019 และ 2020 OilRig ยังคงโจมตีด้วย ฮาร์ดพาส แคมเปญซึ่งใช้ LinkedIn เพื่อกำหนดเป้าหมายผู้ที่ตกเป็นเหยื่อในตะวันออกกลางในภาคพลังงานและภาครัฐ ในปี 2021 OilRig ได้อัปเดต แดนบอท แบ็คดอร์และเริ่มปรับใช้ ชาร์ค, มิลานและแบ็คดอร์ของ Marlin ที่กล่าวถึงใน T3 ฉบับปี 2021 ของรายงานภัยคุกคามของ ESET
ในบล็อกโพสต์นี้ เรานำเสนอการวิเคราะห์ทางเทคนิคของแบ็คดอร์ Solar และ Mango, VBS dropper ที่ใช้ในการส่งมอบ Mango และเครื่องมือหลังการประนีประนอมที่ใช้งานในแต่ละแคมเปญ
การแสดงที่มา
ลิงก์เริ่มต้นที่อนุญาตให้เราเชื่อมต่อแคมเปญ Outer Space กับ OilRig คือการใช้การถ่ายโอนข้อมูล Chrome แบบกำหนดเองแบบเดียวกัน (ติดตามโดยนักวิจัยของ ESET ภายใต้ชื่อ MKG) เช่นเดียวกับใน รณรงค์ออกสู่ทะเล. เราสังเกตเห็นว่าโซลาร์แบ็คดอร์ใช้ MKG ตัวอย่างเดียวกันกับใน Out to Sea บนระบบของเป้าหมาย ร่วมกับอีกสองรูปแบบ
นอกจากความทับซ้อนกันในเครื่องมือและการกำหนดเป้าหมายแล้ว เรายังเห็นความคล้ายคลึงหลายประการระหว่างประตูหลัง Solar และประตูหลังที่ใช้ใน Out to Sea ซึ่งส่วนใหญ่เกี่ยวข้องกับการอัปโหลดและดาวน์โหลด: ทั้ง Solar และ Shark ซึ่งเป็นประตูหลัง OilRig อีกตัวหนึ่ง ใช้ URI ที่มีรูปแบบการอัปโหลดและดาวน์โหลดที่เรียบง่าย เพื่อสื่อสารกับเซิร์ฟเวอร์ C&C โดยมี “d” สำหรับดาวน์โหลด และ “u” สำหรับการอัพโหลด นอกจากนี้ ตัวดาวน์โหลด SC5k ยังใช้ไดเร็กทอรีย่อยการอัปโหลดและดาวน์โหลดเช่นเดียวกับแบ็คดอร์ OilRig อื่นๆ เช่น ALMA, Shark, DanBot และ Milan การค้นพบเหล่านี้เป็นการยืนยันเพิ่มเติมว่าผู้ร้ายที่อยู่เบื้องหลังอวกาศคือ OilRig จริงๆ
สำหรับความสัมพันธ์ของแคมเปญ Juicy Mix กับ OilRig นอกเหนือจากการกำหนดเป้าหมายองค์กรอิสราเอล ซึ่งเป็นเรื่องปกติสำหรับกลุ่มจารกรรมนี้ ยังมีรหัสที่คล้ายคลึงกันระหว่าง Mango แบ็คดอร์ที่ใช้ในแคมเปญนี้ และ Solar นอกจากนี้ แบ็คดอร์ทั้งสองยังถูกปรับใช้โดย VBS droppers ด้วยเทคนิคการทำให้สตริงสับสนแบบเดียวกัน ตัวเลือกเครื่องมือหลังการประนีประนอมที่ใช้ใน Juicy Mix ยังสะท้อนถึงแคมเปญ OilRig ก่อนหน้านี้ด้วย
ภาพรวมแคมเปญนอกอวกาศ
Outer Space ได้รับการตั้งชื่อตามการใช้รูปแบบการตั้งชื่อตามดาราศาสตร์ในชื่อฟังก์ชันและงานต่างๆ Outer Space เป็นแคมเปญ OilRig ตั้งแต่ปี 2021 ในแคมเปญนี้ กลุ่มได้บุกรุกไซต์ทรัพยากรบุคคลของอิสราเอล และต่อมาใช้เป็นเซิร์ฟเวอร์ C&C สำหรับไซต์ดังกล่าวก่อนหน้านี้ แบ็คดอร์ C#/.NET ที่ไม่มีเอกสาร, Solar Solar เป็นแบ็คดอร์ที่เรียบง่ายพร้อมฟังก์ชันพื้นฐาน เช่น การอ่านและการเขียนจากดิสก์ และการรวบรวมข้อมูล
จากนั้นกลุ่มก็ปรับใช้ตัวดาวน์โหลดใหม่ SC5k ผ่าน Solar ซึ่งใช้ Office Exchange Web Services API เพื่อดาวน์โหลดเครื่องมือเพิ่มเติมสำหรับการดำเนินการ ดังที่แสดงใน REF _Ref142655526 ชม รูป 1
. เพื่อขโมยข้อมูลเบราว์เซอร์ออกจากระบบของเหยื่อ OilRig ได้ใช้เครื่องถ่ายโอนข้อมูล Chrome ที่เรียกว่า MKG
ภาพรวมแคมเปญ Juicy Mix
ในปี 2022 OilRig ได้เปิดตัวแคมเปญอื่นที่กำหนดเป้าหมายไปที่องค์กรของอิสราเอล โดยคราวนี้มาพร้อมกับชุดเครื่องมือที่อัปเดต เราตั้งชื่อแคมเปญ Juicy Mix สำหรับการใช้แบ็คดอร์ OilRig ใหม่ Mango (ขึ้นอยู่กับชื่อแอสเซมบลีภายในและชื่อไฟล์ แมงโก้.exe). ในการรณรงค์นี้ ผู้คุกคามได้บุกรุกเว็บไซต์พอร์ทัลรับสมัครงานของอิสราเอลที่ถูกต้องตามกฎหมายเพื่อใช้ในการสื่อสารของ C&C จากนั้นเครื่องมือที่เป็นอันตรายของกลุ่มก็ถูกนำไปใช้กับองค์กรด้านการดูแลสุขภาพซึ่งมีฐานอยู่ในอิสราเอลเช่นกัน
แบ็คดอร์ขั้นแรกของ Mango เป็นผู้สืบทอดต่อจาก Solar ซึ่งเขียนด้วย C#/.NET ด้วยการเปลี่ยนแปลงที่โดดเด่นซึ่งรวมถึงความสามารถในการกรอง การใช้ API ดั้งเดิม และเพิ่มโค้ดการหลีกเลี่ยงการตรวจจับ
นอกจาก Mango แล้ว เรายังตรวจพบดัมพ์ข้อมูลเบราว์เซอร์ที่ไม่ได้จัดทำเอกสารก่อนหน้านี้สองตัว ซึ่งใช้ในการขโมยคุกกี้ ประวัติการเรียกดู และข้อมูลประจำตัวจากเบราว์เซอร์ Chrome และ Edge และผู้ขโมย Windows Credential Manager ซึ่งทั้งหมดนี้เราเชื่อว่าเป็นของ OilRig เครื่องมือเหล่านี้ทั้งหมดถูกนำมาใช้กับเป้าหมายเดียวกันกับ Mango รวมถึงองค์กรอื่นๆ ของอิสราเอลที่ถูกบุกรุกตลอดปี 2021 และ 2022 REF _Ref125475515 ชม รูป 2
แสดงภาพรวมของการใช้ส่วนประกอบต่างๆ ในแคมเปญ Juicy Mix
การวิเคราะห์ทางเทคนิค
ในส่วนนี้ เราจะนำเสนอการวิเคราะห์ทางเทคนิคของแบ็คดอร์ Solar และ Mango และตัวดาวน์โหลด SC5k รวมถึงเครื่องมืออื่นๆ ที่ถูกปรับใช้กับระบบเป้าหมายในแคมเปญเหล่านี้
ตัวหยด VBS
เพื่อสร้างการตั้งหลักบนระบบของเป้าหมาย มีการใช้สคริปต์ Visual Basic (VBS) ในทั้งสองแคมเปญ ซึ่งมีแนวโน้มว่าจะแพร่กระจายโดยอีเมลฟิชชิ่ง การวิเคราะห์ของเราด้านล่างมุ่งเน้นไปที่สคริปต์ VBS ที่ใช้ในการดรอป Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); โปรดทราบว่าหยดของ Solar นั้นคล้ายกันมาก
วัตถุประสงค์ของ dropper คือการส่งมอบแบ็คดอร์ Mango ที่ฝังอยู่ กำหนดเวลางานเพื่อความคงอยู่ และลงทะเบียนการประนีประนอมกับเซิร์ฟเวอร์ C&C แบ็คดอร์ที่ฝังไว้จะถูกจัดเก็บเป็นชุดของสตริงย่อย base64 ซึ่งต่อกันและถอดรหัส base64 ดังแสดงใน REF _Ref125477632 ชม รูป 3
สคริปต์ยังใช้เทคนิคการลดความยุ่งเหยิงของสตริงอย่างง่าย โดยที่สตริงจะถูกประกอบโดยใช้การดำเนินการทางคณิตศาสตร์และ Chr ฟังก์ชัน
ยิ่งไปกว่านั้น VBS dropper ของ Mango ยังเพิ่มการสร้างความสับสนให้กับสตริงและโค้ดอีกประเภทหนึ่งเพื่อตั้งค่าการคงอยู่และลงทะเบียนกับเซิร์ฟเวอร์ C&C ดังแสดงใน REF _Ref125479004 ชม * ผสานรูปแบบ รูป 4
เพื่อถอดรหัสสตริงบางสตริงให้สับสน สคริปต์จะแทนที่อักขระใดๆ ในชุด #*+-_)(}{@$%^& กับ 0จากนั้นแบ่งสตริงออกเป็นตัวเลขสามหลัก จากนั้นแปลงเป็นอักขระ ASCII โดยใช้เครื่องหมาย Chr
การทำงาน. ตัวอย่างเช่น สตริง 116110101109117+99111$68+77{79$68}46-50108109120115}77 แปลเป็น Msxml2.DOMDocument.
เมื่อประตูหลังถูกฝังอยู่ในระบบ dropper จะดำเนินต่อไปเพื่อสร้างงานตามกำหนดเวลาที่รัน Mango (หรือ Solar ในเวอร์ชันอื่น) ทุกๆ 14 นาที ในที่สุด สคริปต์จะส่งชื่อที่เข้ารหัส base64 ของคอมพิวเตอร์ที่ถูกบุกรุกผ่านการร้องขอ POST เพื่อลงทะเบียนแบ็คดอร์กับเซิร์ฟเวอร์ C&C
ประตูหลังพลังงานแสงอาทิตย์
Solar เป็นประตูหลังที่ใช้ในแคมเปญ Outer Space ของ OilRig ด้วยฟังก์ชันพื้นฐาน แบ็คดอร์นี้สามารถใช้เพื่อดาวน์โหลดและรันไฟล์ และถอนไฟล์ที่จัดฉากออกโดยอัตโนมัติ
เราเลือกชื่อ Solar ตามชื่อไฟล์ที่ใช้โดย OilRig โซล่าร์.exe. มันเป็นชื่อที่เหมาะสมเนื่องจากแบ็คดอร์ใช้รูปแบบการตั้งชื่อทางดาราศาสตร์สำหรับชื่อฟังก์ชันและงานที่ใช้ตลอดทั้งไบนารี (ดาวพุธ, วีนัส, ดาวอังคาร, โลกและ ดาวพฤหัสบดี).
Solar เริ่มต้นการดำเนินการโดยทำตามขั้นตอนที่แสดงใน REF _Ref98146919 ชม * ผสานรูปแบบ รูป 5
.
ประตูหลังสร้างงานสองอย่าง โลก
และ วีนัสที่ทำงานอยู่ในหน่วยความจำ ไม่มีฟังก์ชันหยุดสำหรับทั้งสองงาน ดังนั้นงานเหล่านั้นจะทำงานอย่างไม่มีกำหนด โลก
มีกำหนดรันทุกๆ 30 วินาที และ วีนัส
ถูกตั้งค่าให้ทำงานทุกๆ 40 วินาที
โลก เป็นภารกิจหลักที่รับผิดชอบหน้าที่ส่วนใหญ่ของโซลาร์ มันสื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้ฟังก์ชัน สารปรอททูซันซึ่งส่งข้อมูลระบบพื้นฐานและเวอร์ชันมัลแวร์ไปยังเซิร์ฟเวอร์ C&C จากนั้นจัดการการตอบสนองของเซิร์ฟเวอร์ โลก ส่งข้อมูลต่อไปนี้ไปยังเซิร์ฟเวอร์ C&C:
- สตริง (@); สตริงทั้งหมดถูกเข้ารหัส
- สตริง 1.0.0.0, เข้ารหัสแล้ว (อาจเป็นหมายเลขเวอร์ชัน)
- สตริง 30000, เข้ารหัส (อาจเป็นรันไทม์ตามกำหนดเวลาของ โลก
การเข้ารหัสและถอดรหัสถูกนำมาใช้ในฟังก์ชันที่ชื่อ ดาวพฤหัสบดีE
และ ดาวพฤหัสบดีDตามลำดับ ทั้งสองเรียกฟังก์ชันชื่อ ดาวพฤหัสบดีXซึ่งใช้การวนซ้ำ XOR ดังที่แสดงใน REF _Ref98146962 ชม รูป 6
.
คีย์ได้มาจากตัวแปรสตริงส่วนกลางแบบฮาร์ดโค้ด 6sEj7*0B7#7และใน เอกอัครสมณทูต: ในกรณีนี้คือสตริงเลขฐานสิบหกแบบสุ่มที่มีความยาว 2–24 อักขระ หลังจากการเข้ารหัส XOR จะใช้การเข้ารหัส base64 มาตรฐาน
เว็บเซิร์ฟเวอร์ของบริษัททรัพยากรบุคคลของอิสราเอล ซึ่ง OilRig ถูกบุกรุกก่อนที่จะปรับใช้ Solar ถูกใช้เป็นเซิร์ฟเวอร์ C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
ก่อนที่จะถูกผนวกเข้ากับ URI การเข้ารหัส nonce จะถูกเข้ารหัส และค่าของสตริงการสืบค้นเริ่มต้น rt, ถูกตั้งค่าเป็น d ที่นี่น่าจะสำหรับ "ดาวน์โหลด"
ขั้นตอนสุดท้ายของ สารปรอททูซัน
ฟังก์ชั่นคือการประมวลผลการตอบสนองจากเซิร์ฟเวอร์ C&C ซึ่งทำได้โดยการเรียกสตริงย่อยของการตอบกลับซึ่งพบระหว่างอักขระ คิวคิว@ และ @kk. การตอบกลับนี้เป็นชุดคำสั่งที่คั่นด้วยเครื่องหมายดอกจัน (*) ที่ถูกประมวลผลเป็นอาร์เรย์ โลก
จากนั้นดำเนินการคำสั่งลับๆ ซึ่งรวมถึงการดาวน์โหลดเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ แสดงรายการไฟล์บนระบบของเหยื่อ และเรียกใช้โปรแกรมปฏิบัติการเฉพาะ
เอาต์พุตคำสั่งจะถูกบีบอัด gzip โดยใช้ฟังก์ชัน เกตุ
และเข้ารหัสด้วยคีย์เข้ารหัสเดียวกันและ nonce ใหม่ จากนั้นผลลัพธ์จะถูกอัปโหลดไปยังเซิร์ฟเวอร์ C&C ดังนี้:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid และ nonce ใหม่จะถูกเข้ารหัสด้วย ดาวพฤหัสบดีE
ฟังก์ชัน และนี่คือค่าของ rt ถูกตั้งค่าเป็น uมีแนวโน้มว่าจะ "อัปโหลด"
วีนัสซึ่งเป็นงานที่กำหนดเวลาไว้อื่นจะใช้สำหรับการกรองข้อมูลอัตโนมัติ งานเล็กๆ นี้คัดลอกเนื้อหาของไฟล์จากไดเร็กทอรี (หรือที่เรียกว่า วีนัส) ไปยังเซิร์ฟเวอร์ C&C ไฟล์เหล่านี้มีแนวโน้มที่จะถูกทิ้งที่นี่โดยเครื่องมือ OilRig อื่นๆ ที่ยังไม่ปรากฏชื่อ หลังจากอัปโหลดไฟล์ งานจะลบออกจากดิสก์
มะม่วงลับๆ
สำหรับแคมเปญ Juicy Mix นั้น OilRig ได้เปลี่ยนจากประตูหลัง Solar เป็น Mango มีขั้นตอนการทำงานคล้ายกับ Solar และความสามารถที่ทับซ้อนกัน แต่ก็ยังมีการเปลี่ยนแปลงที่สำคัญหลายประการ:
- การใช้ TLS สำหรับการสื่อสาร C&C
- การใช้ Native API แทน .NET API เพื่อรันไฟล์และคำสั่งเชลล์
- แม้ว่าจะไม่ได้ใช้งาน แต่ก็มีการนำรหัสการหลบเลี่ยงการตรวจจับมาใช้
- รองรับการกรองอัตโนมัติ (วีนัส
- การสนับสนุนโหมดบันทึกได้ถูกลบออก และชื่อสัญลักษณ์ได้ถูกทำให้สับสน
ตรงกันข้ามกับแผนการตั้งชื่อตามดาราศาสตร์ของโซลาร์ แมงโก้ทำให้ชื่อสัญลักษณ์สับสน ดังที่เห็นได้ใน REF _Ref142592880 ชม รูป 7
.
นอกจากการทำให้ชื่อสัญลักษณ์สับสนแล้ว Mango ยังใช้วิธีการซ้อนสตริงด้วย (ดังที่แสดงใน REF _Ref142592892 ชม รูป 8
REF _Ref141802299 ชม
) เพื่อทำให้สตริงสับสน ซึ่งทำให้การใช้วิธีการตรวจจับแบบง่ายมีความซับซ้อน
เช่นเดียวกับ Solar แบ็คดอร์ Mango เริ่มต้นด้วยการสร้างงานในหน่วยความจำ ซึ่งมีกำหนดเวลาให้ทำงานอย่างไม่มีกำหนดทุกๆ 32 วินาที งานนี้สื่อสารกับเซิร์ฟเวอร์ C&C และดำเนินการคำสั่งลับๆ คล้ายกับของ Solar โลก
งาน. ในขณะที่โซลาร์ยังสร้าง วีนัสซึ่งเป็นงานสำหรับการกรองอัตโนมัติ ฟังก์ชันนี้ถูกแทนที่ด้วยคำสั่งลับๆ ใน Mango
ในภารกิจหลัก Mango จะสร้างตัวระบุเหยื่อก่อน เพื่อใช้ในการสื่อสารของ C&C ID ถูกคำนวณเป็นแฮช MD5 ของ ซึ่งจัดรูปแบบเป็นสตริงเลขฐานสิบหก
หากต้องการขอคำสั่งลับๆ Mango จะส่งสตริง ดี@ @ | ไปยังเซิร์ฟเวอร์ C&C http://www.darush.co[.]il/ads.asp – พอร์ทัลงานของอิสราเอลที่ถูกกฎหมาย ซึ่งมีแนวโน้มว่าจะถูกโจมตีโดย OilRig ก่อนการรณรงค์นี้ เราได้แจ้งองค์กร CERT แห่งชาติอิสราเอลเกี่ยวกับการประนีประนอมแล้ว
เนื้อหาคำขอถูกสร้างขึ้นดังนี้:
- ข้อมูลที่จะส่งจะถูกเข้ารหัส XOR โดยใช้คีย์เข้ารหัส ถาม&4gจากนั้นเข้ารหัส base64
- สตริงสุ่มเทียมที่มีอักขระ 3–14 ตัวถูกสร้างขึ้นจากตัวอักษรนี้ (ตามที่ปรากฏในโค้ด): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- ข้อมูลที่เข้ารหัสจะถูกแทรกในตำแหน่งสุ่มเทียมภายในสตริงที่สร้างขึ้น ซึ่งอยู่ระหว่างนั้น [@ และ @] ตัวคั่น
ในการสื่อสารกับเซิร์ฟเวอร์ C&C นั้น Mango ใช้โปรโตคอล TLS (Transport Layer Security) ซึ่งใช้เพื่อจัดเตรียมการเข้ารหัสชั้นเพิ่มเติม.
ในทำนองเดียวกัน คำสั่งแบ็คดอร์ที่ได้รับจากเซิร์ฟเวอร์ C&C นั้นมีการเข้ารหัส XOR เข้ารหัส base64 จากนั้นปิดล้อมระหว่าง [@ และ @] ภายในเนื้อหาการตอบสนอง HTTP คำสั่งเองก็เป็นอย่างใดอย่างหนึ่ง เอ็นเอ็นเอ็นที
(ซึ่งในกรณีนี้จะไม่มีการดำเนินการใดๆ) หรือสตริงของพารามิเตอร์หลายตัวที่คั่นด้วย
@ตามรายละเอียดใน REF _Ref125491491 ชม ตาราง 1
ซึ่งแสดงรายการคำสั่งลับๆ ของ Mango โปรดทราบว่า ไม่อยู่ในตาราง แต่ใช้ในการตอบสนองต่อเซิร์ฟเวอร์ C&C
ตารางที่ 1. รายการคำสั่งลับๆ ของ Mango
arg1 |
arg2 |
arg3 |
ดำเนินการแล้ว |
ส่งคืนค่า |
|
1 หรือสตริงว่าง |
+สป |
N / A |
ดำเนินการคำสั่ง file/shell ที่ระบุ (พร้อมอาร์กิวเมนต์เผื่อเลือก) โดยใช้เนทิฟ สร้างกระบวนการ API นำเข้าผ่าน DLL นำเข้า. หากข้อโต้แย้งประกอบด้วย [S]มันถูกแทนที่ด้วย C: WindowsSystem32. |
เอาต์พุตคำสั่ง |
|
+nu |
N / A |
ส่งคืนสตริงเวอร์ชันมัลแวร์และ C&C URL |
|; ในกรณีนี้: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+ชั้น |
N / A |
ระบุเนื้อหาของไดเร็กทอรีที่ระบุ (หรือไดเร็กทอรีการทำงานปัจจุบัน) |
ไดเรกทอรีของ สำหรับแต่ละไดเรกทอรีย่อย:
สำหรับแต่ละไฟล์: ไฟล์ ผบ. ไฟล์ |
||
+dn |
N / A |
อัปโหลดเนื้อหาไฟล์ไปยังเซิร์ฟเวอร์ C&C ผ่านคำขอ HTTP POST ใหม่ที่มีรูปแบบ: ยู@ @ | @ @2@. |
หนึ่งใน: · ไฟล์[ ] ถูกอัปโหลดไปยังเซิร์ฟเวอร์ · ไม่พบไฟล์! · เส้นทางไฟล์ว่างเปล่า! |
||
2 |
ข้อมูลที่เข้ารหัส Base64 |
ชื่อไฟล์ |
ดัมพ์ข้อมูลที่ระบุลงในไฟล์ในไดเร็กทอรีการทำงาน |
ไฟล์ที่ดาวน์โหลดไปยังเส้นทาง [ ] |
คำสั่งแบ็คดอร์แต่ละคำสั่งได้รับการจัดการในเธรดใหม่ จากนั้นค่าที่ส่งคืนจะถูกเข้ารหัส base64 และรวมกับข้อมูลเมตาอื่น ๆ สุดท้าย สตริงนั้นจะถูกส่งไปยังเซิร์ฟเวอร์ C&C โดยใช้โปรโตคอลและวิธีการเข้ารหัสเดียวกันกับที่อธิบายไว้ข้างต้น
เทคนิคการหลบเลี่ยงการตรวจจับที่ไม่ได้ใช้
ที่น่าสนใจคือเราพบสิ่งที่ไม่ได้ใช้ เทคนิคการหลบเลี่ยงการตรวจจับ ภายในมะม่วง ฟังก์ชันที่รับผิดชอบในการรันไฟล์และคำสั่งที่ดาวน์โหลดจากเซิร์ฟเวอร์ C&C จะใช้พารามิเตอร์ตัวที่สองซึ่งเป็นรหัสกระบวนการ หากตั้งค่าไว้ Mango จะใช้ UpdateProcThreadAttribute
API เพื่อตั้งค่า PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) คุณลักษณะสำหรับกระบวนการที่ระบุเป็นค่า: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000)ตามที่แสดงใน REF _Ref125480118 ชม รูป 9
.
เป้าหมายของเทคนิคนี้คือการบล็อกโซลูชันการรักษาความปลอดภัยปลายทางไม่ให้โหลด hook โค้ดโหมดผู้ใช้ผ่าน DLL ในกระบวนการนี้ แม้ว่าจะไม่ได้ใช้พารามิเตอร์ในตัวอย่างที่วิเคราะห์ แต่ก็สามารถเปิดใช้งานได้ในเวอร์ชันต่อๆ ไป
1.1.1 เวอร์ชัน
ไม่เกี่ยวข้องกับแคมเปญ Juicy Mix ในเดือนกรกฎาคม 2023 เราพบแบ็คดอร์ Mango เวอร์ชันใหม่ (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A) อัปโหลดไปยัง VirusTotal โดยผู้ใช้หลายคนภายใต้ชื่อ Menorah.exe. เวอร์ชันภายในในตัวอย่างนี้เปลี่ยนจาก 1.0.0 เป็น 1.1.1 แต่การเปลี่ยนแปลงที่โดดเด่นเพียงอย่างเดียวคือการใช้เซิร์ฟเวอร์ C&C อื่น http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
นอกจากเวอร์ชันนี้แล้ว เรายังค้นพบเอกสาร Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) พร้อมด้วยมาโครที่เป็นอันตรายซึ่งจะปล่อยแบ็คดอร์ REF _Ref143162004 ชม รูป 10
แสดงข้อความเตือนปลอม ล่อลวงให้ผู้ใช้เปิดใช้มาโครสำหรับเอกสาร และเนื้อหาล่อที่จะแสดงในภายหลัง ขณะที่โค้ดที่เป็นอันตรายทำงานในเบื้องหลัง
รูปที่ 10 เอกสาร Microsoft Word ที่มีมาโครที่เป็นอันตรายซึ่งทำให้ Mango v1.1.1 ลดลง
เครื่องมือหลังการประนีประนอม
ในส่วนนี้ เราจะตรวจสอบเครื่องมือหลังการประนีประนอมที่ใช้ในแคมเปญ Outer Space และ Juicy Mix ของ OilRig โดยมีวัตถุประสงค์เพื่อดาวน์โหลดและดำเนินการเพย์โหลดเพิ่มเติม และขโมยข้อมูลจากระบบที่ถูกบุกรุก
โปรแกรมดาวน์โหลด SampleCheck5000 (SC5k)
SampleCheck5000 (หรือ SC5k) เป็นตัวดาวน์โหลดที่ใช้ในการดาวน์โหลดและเรียกใช้เครื่องมือ OilRig เพิ่มเติม โดยมีความโดดเด่นในการใช้ Microsoft Office Exchange Web Services API สำหรับการสื่อสาร C&C โดยผู้โจมตีสร้างข้อความร่างในบัญชีอีเมลนี้และซ่อนคำสั่งลับๆ ในนั้น ต่อจากนั้น ผู้ดาวน์โหลดจะเข้าสู่ระบบบัญชีเดียวกัน และแยกวิเคราะห์แบบร่างเพื่อดึงคำสั่งและเพย์โหลดเพื่อดำเนินการ
SC5k ใช้ค่าที่กำหนดไว้ล่วงหน้า ได้แก่ Microsoft Exchange URL, ที่อยู่อีเมล และรหัสผ่าน เพื่อเข้าสู่ระบบเซิร์ฟเวอร์ Exchange ระยะไกล แต่ยังรองรับตัวเลือกในการแทนที่ค่าเหล่านี้โดยใช้ไฟล์การกำหนดค่าในไดเร็กทอรีการทำงานปัจจุบันที่ชื่อ การตั้งค่าคีย์. เราเลือกชื่อ SampleCheck5000 โดยอิงจากหนึ่งในที่อยู่อีเมลที่เครื่องมือใช้ในแคมเปญ Outer Space
เมื่อ SC5k เข้าสู่ระบบเซิร์ฟเวอร์ Exchange ระยะไกล มันจะดึงข้อมูลอีเมลทั้งหมดใน ร่าง
ไดเร็กทอรี เรียงลำดับตามล่าสุด โดยเก็บเฉพาะแบบร่างที่มีไฟล์แนบ จากนั้นจะวนซ้ำข้อความร่างทั้งหมดที่มีไฟล์แนบ โดยมองหาไฟล์แนบ JSON ที่มี "ข้อมูล" ในร่างกาย มันแยกค่าออกจากคีย์ ข้อมูล ในไฟล์ JSON นั้น base64 จะถอดรหัสและถอดรหัสค่า และการโทร cmd.exe เพื่อดำเนินการสตริงบรรทัดคำสั่งผลลัพธ์ SC5k จะบันทึกเอาต์พุตของ cmd.exe
การดำเนินการกับตัวแปรท้องถิ่น
ในขั้นตอนถัดไปในลูป ตัวดาวน์โหลดจะรายงานผลลัพธ์ไปยังผู้ปฏิบัติงาน OilRig โดยการสร้างข้อความอีเมลใหม่บนเซิร์ฟเวอร์ Exchange และบันทึกเป็นแบบร่าง (ไม่ส่ง) ดังที่แสดงใน อ้างอิง _Ref98147102
h * ผสานรูปแบบ รูป 11
. เทคนิคที่คล้ายกันนี้ใช้เพื่อแยกไฟล์ออกจากโฟลเดอร์การแสดงละครในเครื่อง ในขั้นตอนสุดท้ายในลูป SC5k จะบันทึกเอาต์พุตคำสั่งในรูปแบบที่เข้ารหัสและบีบอัดบนดิสก์ด้วย
ดัมพ์ข้อมูลเบราว์เซอร์
เป็นลักษณะเฉพาะของผู้ปฏิบัติงาน OilRig ที่จะใช้ดัมพ์ข้อมูลเบราว์เซอร์ในกิจกรรมหลังการประนีประนอม เราค้นพบตัวขโมยข้อมูลเบราว์เซอร์ใหม่สองตัวในบรรดาเครื่องมือหลังการประนีประนอมที่ใช้งานในแคมเปญ Juicy Mix ควบคู่ไปกับแบ็คดอร์ Mango พวกเขาถ่ายโอนข้อมูลเบราว์เซอร์ที่ถูกขโมยไปใน % อุณหภูมิ% ไดเร็กทอรีลงในไฟล์ชื่อ คัพเดท
และ อัปเดต
(เพราะฉะนั้นชื่อของเราสำหรับพวกเขา: CDumper และ EDumper)
เครื่องมือทั้งสองเป็นตัวขโมยข้อมูลเบราว์เซอร์ C#/.NET รวบรวมคุกกี้ ประวัติการเรียกดู และข้อมูลประจำตัวจากเบราว์เซอร์ Chrome (CDumper) และ Edge (EDumper) เรามุ่งเน้นการวิเคราะห์ของเราไปที่ CDumper เนื่องจากผู้ขโมยทั้งสองมีความเหมือนกันในทางปฏิบัติ ดังนั้นให้ประหยัดค่าคงที่บางส่วนไว้
เมื่อดำเนินการ CDumper จะสร้างรายชื่อผู้ใช้ที่ติดตั้ง Google Chrome เมื่อดำเนินการ ผู้ขโมยจะเชื่อมต่อกับ Chrome SQLite คุกกี้, ประวัติขององค์กร
และ ข้อมูลการเข้าสู่ระบบ ฐานข้อมูลภายใต้ %APPDATA%ข้อมูลผู้ใช้ GoogleChrome ในเครื่องและรวบรวมข้อมูลเบราว์เซอร์ รวมถึง URL ที่เยี่ยมชมและการเข้าสู่ระบบที่บันทึกไว้ โดยใช้คำสั่ง SQL
จากนั้นค่าคุกกี้จะถูกถอดรหัส และข้อมูลที่รวบรวมทั้งหมดจะถูกเพิ่มลงในไฟล์บันทึกที่มีชื่อ ค:ผู้ใช้ AppDataLocalTempCupdateในรูปแบบข้อความที่ชัดเจน ฟังก์ชันนี้ถูกนำไปใช้ในฟังก์ชัน CDumper ที่มีชื่อ คุกกี้แกร็บ
(ดู REF _Ref126168131 ชม รูป 12
), ประวัติศาสตร์คว้า และ รหัสผ่านGrab. โปรดทราบว่าไม่มีการใช้กลไกการกรองใน CDumper แต่ Mango สามารถกรองไฟล์ที่เลือกผ่านคำสั่งแบ็คดอร์ได้
ทั้งในอวกาศและในสมัยก่อน ออกทะเล แคมเปญ OilRig ใช้รถเทข้อมูล C/C++ Chrome ชื่อ MKG เช่นเดียวกับ CDumper และ EDumper MKG ยังสามารถขโมยชื่อผู้ใช้และรหัสผ่าน ประวัติการเข้าชมและคุกกี้จากเบราว์เซอร์ได้ โดยทั่วไปแล้ว รถเทข้อมูล Chrome นี้จะถูกใช้งานในตำแหน่งไฟล์ต่อไปนี้ (โดยตำแหน่งแรกจะเป็นตำแหน่งที่พบบ่อยที่สุด):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
ตัวขโมย Windows Credential Manager
นอกจากเครื่องมือการทิ้งข้อมูลเบราว์เซอร์แล้ว OilRig ยังใช้ตัวขโมย Windows Credential Manager ในแคมเปญ Juicy Mix เครื่องมือนี้จะขโมยข้อมูลประจำตัวจาก Windows Credential Manager และคล้ายกับ CDumper และ EDumper โดยจัดเก็บไว้ใน % อุณหภูมิ% directory – คราวนี้เป็นไฟล์ชื่อ ฉันอัปเดต
(จึงเป็นที่มาของชื่อ IDumper) IDumper ต่างจาก CDumper และ EDumper ตรงที่ใช้เป็นสคริปต์ PowerShell
เช่นเดียวกับเครื่องมือดัมพ์ของเบราว์เซอร์ ไม่ใช่เรื่องแปลกที่ OilRig จะรวบรวมข้อมูลประจำตัวจาก Windows Credential Manager ก่อนหน้านี้ ผู้ปฏิบัติงานของ OilRig ถูกสังเกตโดยใช้ VALUEVAULT, a ที่เปิดเผยต่อสาธารณชน, เครื่องมือขโมยข้อมูลประจำตัวที่คอมไพล์แล้ว (ดูที่ไฟล์ แคมเปญ HardPass ปี 2019 และ แคมเปญ 2020) เพื่อจุดประสงค์เดียวกัน
สรุป
OilRig ยังคงสร้างสรรค์นวัตกรรมและสร้างอุปกรณ์ปลูกถ่ายใหม่ๆ ที่มีความสามารถเหมือนประตูหลัง ในขณะเดียวกันก็ค้นหาวิธีใหม่ๆ ในการรันคำสั่งบนระบบระยะไกล กลุ่มนี้ปรับปรุงโดยใช้แบ็คดอร์ C#/.NET Solar จากแคมเปญ Outer Space เพื่อสร้างแบ็คดอร์ใหม่ชื่อ Mango สำหรับแคมเปญ Juicy Mix กลุ่มปรับใช้ชุดเครื่องมือหลังการประนีประนอมแบบกำหนดเองซึ่งใช้ในการรวบรวมข้อมูลประจำตัว คุกกี้ และประวัติการเรียกดูจากเบราว์เซอร์หลักและจาก Windows Credential Manager แม้จะมีนวัตกรรมเหล่านี้ OilRig ยังคงพึ่งพาวิธีการที่เป็นที่ยอมรับในการรับข้อมูลผู้ใช้
หากมีข้อสงสัยเกี่ยวกับงานวิจัยของเราที่เผยแพร่บน WeLiveSecurity โปรดติดต่อเราที่ Threatintel@eset.com.
ESET Research เสนอรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากต้องการสอบถามเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.
ไอโอซี
ไฟล์
SHA-1 |
ชื่อไฟล์ |
ชื่อการตรวจจับ ESET |
รายละเอียด |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
เอกสารที่มีแมโครที่เป็นอันตรายปล่อย Mango |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
หยด VBS |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
โซล่าร์.exe |
MSIL/OilRig.E |
ประตูหลังพลังงานแสงอาทิตย์ |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
แมงโก้.exe |
MSIL/OilRig.E |
แบ็คดอร์มะม่วง (v1.0.0) |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
แบ็คดอร์มะม่วง (v1.1.1) |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
รถเทข้อมูล Edge |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
รถเทข้อมูล Chrome |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
รถเทข้อมูลประจำตัวของ Windows Credential |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG - รถเทข้อมูล Chrome |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG - รถเทข้อมูล Chrome |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG - รถเทข้อมูล Chrome |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
ตัวดาวน์โหลด SC5k (เวอร์ชัน 32 บิต) |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
ตัวดาวน์โหลด SC5k (เวอร์ชัน 64 บิต) |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
ตัวดาวน์โหลด SC5k (เวอร์ชัน 64 บิต) |
เครือข่าย
IP |
โดเมน |
ผู้ให้บริการโฮสติ้ง |
เห็นครั้งแรก |
รายละเอียด |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
มาร์ควิสเน็ต |
2022-07-29 |
N / A |
เทคนิค MITER ATT&CK
ตารางนี้ถูกสร้างขึ้นโดยใช้ 13 รุ่น ของกรอบงาน MITER ATT&CK
ชั้นเชิง |
ID |
Name |
รายละเอียด |
การพัฒนาทรัพยากร |
โครงสร้างพื้นฐานประนีประนอม: เซิร์ฟเวอร์ |
ในแคมเปญ Outer Space และ Juicy Mix นั้น OilRig ได้บุกรุกเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อจัดแสดงเครื่องมือที่เป็นอันตรายและสำหรับการสื่อสารของ C&C |
|
พัฒนาความสามารถ: มัลแวร์ |
OilRig ได้พัฒนาแบ็คดอร์แบบกำหนดเอง (Solar และ Mango) โปรแกรมดาวน์โหลด (SC5k) และชุดเครื่องมือขโมยข้อมูลรับรองเพื่อใช้ในการดำเนินงาน |
||
ความสามารถของเวที: อัปโหลดมัลแวร์ |
OilRig ได้อัปโหลดส่วนประกอบที่เป็นอันตรายไปยังเซิร์ฟเวอร์ C&C และจัดเก็บไฟล์และคำสั่งล่วงหน้าไว้ใน ร่าง ไดเร็กทอรีอีเมลของบัญชี Office 365 สำหรับ SC5k เพื่อดาวน์โหลดและดำเนินการ |
||
ความสามารถของสเตจ: เครื่องมืออัปโหลด |
OilRig ได้อัปโหลดเครื่องมือที่เป็นอันตรายไปยังเซิร์ฟเวอร์ C&C และจัดเก็บไฟล์ prestaged ไว้ใน ร่าง ไดเร็กทอรีอีเมลของบัญชี Office 365 สำหรับ SC5k เพื่อดาวน์โหลดและดำเนินการ |
||
การเข้าถึงเบื้องต้น |
ฟิชชิ่ง: ไฟล์แนบ Spearphishing |
OilRig อาจเผยแพร่แคมเปญ Outer Space และ Juicy Mix ผ่านอีเมลฟิชชิ่งพร้อมแนบ VBS droppers |
|
การกระทำ |
งานที่กำหนดเวลาไว้/งาน: งานที่กำหนดเวลาไว้ |
เครื่องมือ IDumper, EDumper และ CDumper ของ OilRig ใช้งานตามกำหนดการที่มีชื่อว่า เช่น, เอ็ด , และ ลูกบาศ์ก เพื่อดำเนินการด้วยตนเองภายใต้บริบทของผู้ใช้รายอื่น Solar และ Mango ใช้งาน C#/.NET บนตัวจับเวลาเพื่อดำเนินการฟังก์ชันหลักซ้ำๆ |
|
ล่ามคำสั่งและสคริปต์: PowerShell |
เครื่องมือ IDumper ของ OilRig ใช้ PowerShell ในการดำเนินการ |
||
ล่ามคำสั่งและสคริปต์: Windows Command Shell |
การใช้งาน Solar, SC5k, IDumper, EDumper และ CDumper ของ OilRig cmd.exe เพื่อดำเนินงานบนระบบ |
||
ล่ามคำสั่งและสคริปต์: Visual Basic |
OilRig ใช้ VBScript ที่เป็นอันตรายเพื่อส่งและคงอยู่แบ็คดอร์ Solar และ Mango |
||
API ดั้งเดิม |
ประตูหลัง Mango ของ OilRig ใช้ สร้างกระบวนการ Windows API สำหรับการดำเนินการ |
||
การติดตา |
งานที่กำหนดเวลาไว้/งาน: งานที่กำหนดเวลาไว้ |
VBS dropper ของ OilRig กำหนดเวลางานที่ตั้งชื่อไว้ งานเตือนความจำ เพื่อสร้างความพากเพียรให้กับประตูหลังของ Mango |
|
การหลบหลีกการป้องกัน |
การปลอมแปลง: จับคู่ชื่อหรือสถานที่ที่ถูกต้องตามกฎหมาย |
OilRig ใช้ชื่อไฟล์ที่ถูกต้องหรือไม่เป็นอันตรายสำหรับมัลแวร์เพื่อปลอมตัวจากผู้ปกป้องและซอฟต์แวร์รักษาความปลอดภัย |
|
ไฟล์หรือข้อมูลที่ทำให้สับสน: การบรรจุซอฟต์แวร์ |
OilRig ได้ใช้ โปรแกรมทำแพ็คเกจสคริปต์ SAPIEN และ ตัวสร้างความสับสน SmartAssembly เพื่อทำให้เครื่องมือ IDumper สับสน |
||
ไฟล์หรือข้อมูลที่สับสน: เพย์โหลดที่ฝังไว้ |
VBS droppers ของ OilRig มีเพย์โหลดที่เป็นอันตรายฝังอยู่ภายในเป็นชุดของสตริงย่อย base64 |
||
Masquerading: Masquerade Task หรือ Service |
เพื่อให้ปรากฏว่าถูกต้องตามกฎหมาย VBS dropper ของ Mango จะกำหนดเวลางานพร้อมคำอธิบาย เริ่มแผ่นจดบันทึกในเวลาที่กำหนด. |
||
การลบตัวบ่งชี้: การคงอยู่ที่ชัดเจน |
เครื่องมือหลังการประนีประนอมของ OilRig จะลบงานที่กำหนดเวลาไว้หลังจากช่วงระยะเวลาหนึ่ง |
||
ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล |
OilRig ใช้วิธีการสร้างความสับสนหลายวิธีเพื่อปกป้องสตริงและเพย์โหลดที่ฝังอยู่ |
||
ล้มล้างการควบคุมความน่าเชื่อถือ |
SC5k ใช้ Office 365 ซึ่งโดยทั่วไปแล้วเป็นเว็บไซต์ดาวน์โหลดจากบุคคลที่สามที่เชื่อถือได้และมักถูกมองข้ามโดยผู้ปกป้อง |
||
ทำให้เสียการป้องกัน |
ประตูหลัง Mango ของ OilRig มีความสามารถ (ในขณะนี้) ที่ยังไม่ได้ใช้งานเพื่อบล็อกโซลูชั่นรักษาความปลอดภัยปลายทางไม่ให้โหลดโค้ดโหมดผู้ใช้ในกระบวนการเฉพาะ |
||
การเข้าถึงข้อมูลประจำตัว |
ข้อมูลรับรองจากร้านค้ารหัสผ่าน: ข้อมูลรับรองจากเว็บเบราว์เซอร์ |
เครื่องมือที่กำหนดเองของ OilRig MKG, CDumper และ EDumper สามารถรับข้อมูลประจำตัว คุกกี้ และประวัติการเรียกดูจากเบราว์เซอร์ Chrome และ Edge |
|
ข้อมูลรับรองจากร้านค้ารหัสผ่าน: Windows Credential Manager |
เครื่องมือทิ้งข้อมูลประจำตัวที่กำหนดเองของ OilRig IDumper สามารถขโมยข้อมูลประจำตัวจาก Windows Credential Manager |
||
การค้นพบ |
การค้นพบข้อมูลระบบ |
Mango ได้รับชื่อคอมพิวเตอร์ที่ถูกบุกรุก |
|
การค้นหาไฟล์และไดเรกทอรี |
Mango มีคำสั่งให้ระบุเนื้อหาของไดเร็กทอรีที่ระบุ |
||
เจ้าของระบบ/การค้นพบผู้ใช้ |
แมงโก้ได้รับชื่อผู้ใช้ของเหยื่อ |
||
การค้นพบบัญชี: บัญชีท้องถิ่น |
เครื่องมือ EDumper, CDumper และ IDumper ของ OilRig สามารถระบุบัญชีผู้ใช้ทั้งหมดบนโฮสต์ที่ถูกบุกรุกได้ |
||
การค้นพบข้อมูลเบราว์เซอร์ |
MKG ทิ้งประวัติ Chrome และบุ๊กมาร์ก |
||
ควบคุมและสั่งการ |
Application Layer Protocol: โปรโตคอลเว็บ |
Mango ใช้ HTTP ในการสื่อสาร C&C |
|
การถ่ายโอนเครื่องมือขาเข้า |
Mango มีความสามารถในการดาวน์โหลดไฟล์เพิ่มเติมจากเซิร์ฟเวอร์ C&C เพื่อดำเนินการในภายหลัง |
||
การทำให้ข้อมูลสับสน |
Solar และ SC5k ใช้วิธีการเข้ารหัส XOR แบบง่ายๆ ร่วมกับการบีบอัด gzip เพื่อสร้างความสับสนให้กับข้อมูลที่อยู่นิ่งและระหว่างการส่งผ่าน |
||
บริการเว็บ: การสื่อสารแบบสองทิศทาง |
SC5k ใช้ Office 365 สำหรับการดาวน์โหลดไฟล์จากและอัพโหลดไฟล์ไปยัง ร่าง ไดเร็กทอรีในบัญชีอีเมลที่ถูกต้อง |
||
การเข้ารหัสข้อมูล: การเข้ารหัสมาตรฐาน |
Solar, Mango และ MKG base64 ถอดรหัสข้อมูลก่อนส่งไปยังเซิร์ฟเวอร์ C&C |
||
ช่องที่เข้ารหัส: Symmetric Cryptography |
Mango ใช้รหัส XOR พร้อมกุญแจ ถาม&4g เพื่อเข้ารหัสข้อมูลในการสื่อสารของ C&C |
||
ช่องที่เข้ารหัส: การเข้ารหัสแบบอสมมาตร |
Mango ใช้ TLS สำหรับการสื่อสาร C&C |
||
การกรอง |
การกรองผ่านช่อง C2 |
Mango, Solar และ SC5k ใช้ช่อง C&C เพื่อกรอง |
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- สามารถ
- เกี่ยวกับเรา
- ข้างบน
- ลงชื่อเข้าใช้
- บัญชี
- การกระทำ
- คล่องแคล่ว
- อย่างกระตือรือร้น
- กิจกรรม
- นักแสดง
- ที่เพิ่ม
- นอกจากนี้
- เพิ่มเติม
- นอกจากนี้
- ที่อยู่
- ที่อยู่
- เพิ่ม
- หลังจาก
- ภายหลัง
- กับ
- ตัวแทน
- มีวัตถุประสงค์เพื่อ
- ทั้งหมด
- อนุญาตให้
- อัลมา
- ตาม
- คู่ขนาน
- Alphabet
- ด้วย
- ในหมู่
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- อื่น
- ใด
- API
- APIs
- ปรากฏ
- ปรากฏ
- ประยุกต์
- APT
- อาหรับ
- อาหรับเอมิเรตส์
- เอกสารเก่า
- เป็น
- ข้อโต้แย้ง
- แถว
- AS
- ลอม
- การชุมนุม
- ดาราศาสตร์
- At
- การโจมตี
- อัตโนมัติ
- อัตโนมัติ
- ประตูหลัง
- แบ็ค
- พื้นหลัง
- ตาม
- ขั้นพื้นฐาน
- BE
- รับ
- ก่อน
- เริ่ม
- หลัง
- กำลัง
- ด้านล่าง
- นอกจากนี้
- ระหว่าง
- ปิดกั้น
- ร่างกาย
- ที่คั่นหนังสือ
- ทั้งสอง
- เบราว์เซอร์
- เบราว์เซอร์
- Browsing
- สร้าง
- ธุรกิจ
- แต่
- by
- โทรศัพท์
- ที่เรียกว่า
- โทร
- รณรงค์
- แคมเปญ
- CAN
- ความสามารถในการ
- ความสามารถ
- ดำเนินการ
- กรณี
- บาง
- เปลี่ยนแปลง
- การเปลี่ยนแปลง
- การเปลี่ยนแปลง
- ช่อง
- ช่อง
- ลักษณะเฉพาะ
- อักขระ
- สารเคมี
- ทางเลือก
- เลือก
- Chrome
- ตัวเลข
- ชัดเจน
- รหัส
- รวบรวม
- การเก็บรวบรวม
- COM
- รวม
- ร่วมกัน
- อย่างธรรมดา
- สื่อสาร
- การสื่อสาร
- คมนาคม
- บริษัท
- ส่วนประกอบ
- การประนีประนอม
- ที่ถูกบุกรุก
- คอมพิวเตอร์
- องค์ประกอบ
- การยืนยัน
- เชื่อมต่อ
- เชื่อมต่อ
- ติดต่อเรา
- บรรจุ
- เนื้อหา
- สิ่งแวดล้อม
- อย่างต่อเนื่อง
- อย่างต่อเนื่อง
- แปลง
- คุ้กกี้
- ได้
- สร้าง
- สร้าง
- การสร้าง
- การสร้าง
- หนังสือรับรอง
- หนังสือรับรอง
- ปัจจุบัน
- ประเพณี
- ข้อมูล
- ฐานข้อมูล
- ถอดรหัส
- Defenders
- ส่งมอบ
- ปรับใช้
- นำไปใช้
- ปรับใช้
- Deploys
- ที่ได้มา
- อธิบาย
- ลักษณะ
- แม้จะมี
- รายละเอียด
- ตรวจพบ
- การตรวจพบ
- พัฒนา
- ต่าง
- ค้นพบ
- การค้นพบ
- แสดง
- กระจาย
- แบ่ง
- เอกสาร
- ทำ
- ดาวน์โหลด
- ดาวน์โหลด
- ร่าง
- หล่น
- ปรับตัวลดลง
- ลดลง
- หยด
- กอง
- แต่ละ
- ก่อน
- ตะวันออก
- ทางตะวันออก
- ขอบ
- ทั้ง
- อีเมล
- อีเมล
- ที่ฝัง
- เอมิเรต
- การจ้างงาน
- ทำให้สามารถ
- ที่มีการเข้ารหัส
- การเข้ารหัสลับ
- ปลายทาง
- การรักษาความปลอดภัยปลายทาง
- พลังงาน
- ที่ล่อลวง
- การจารกรรม
- สร้าง
- ที่จัดตั้งขึ้น
- การหลีกเลี่ยง
- ทุกๆ
- ตัวอย่าง
- ตลาดแลกเปลี่ยน
- โดยเฉพาะ
- ดำเนินการ
- ดำเนินการ
- รัน
- การดำเนินงาน
- การปฏิบัติ
- การกรอง
- สารสกัดจาก
- เทียม
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- ทางการเงิน
- หา
- ผลการวิจัย
- ชื่อจริง
- เหมาะสม
- ไหล
- โฟกัส
- มุ่งเน้นไปที่
- ดังต่อไปนี้
- ดังต่อไปนี้
- สำหรับ
- รูป
- พบ
- กรอบ
- ราคาเริ่มต้นที่
- จาก 2021
- ฟังก์ชัน
- ฟังก์ชันการทำงาน
- ฟังก์ชั่น
- ฟังก์ชั่น
- ต่อไป
- อนาคต
- การรวบรวม
- โดยทั่วไป
- สร้าง
- สร้าง
- เหตุการณ์ที่
- เป้าหมาย
- Google Chrome
- รัฐบาล
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- จัดการ
- กัญชา
- มี
- การดูแลสุขภาพ
- ด้วยเหตุนี้
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- HEX
- ซ่อน
- ประวัติ
- ตะขอ
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTML
- ที่ http
- HTTPS
- เป็นมนุษย์
- ทรัพยากรมนุษย์
- ID
- identiques
- ระบุ
- if
- ภาพ
- การดำเนินการ
- การดำเนินการ
- การปรับปรุง
- in
- ประกอบด้วย
- รวมทั้ง
- จริง
- ข้อมูล
- ข้อมูล
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- เราสร้างสรรค์สิ่งใหม่ ๆ
- นวัตกรรม
- สอบถามข้อมูล
- การติดตั้ง
- แทน
- คำแนะนำการใช้
- Intelligence
- ภายใน
- เข้าไป
- แนะนำ
- อิหร่าน
- อิสราเอล
- IT
- ITS
- ตัวเอง
- การสัมภาษณ์
- JSON
- กรกฎาคม
- เพียงแค่
- การเก็บรักษา
- คีย์
- ที่รู้จักกัน
- ชื่อสกุล
- เปิดตัว
- ชั้น
- น้อยที่สุด
- เลบานอน
- ซ้าย
- ถูกกฎหมาย
- กดไลก์
- น่าจะ
- Line
- LINK
- รายการ
- จดทะเบียน
- รายการ
- รายการ
- โหลด
- ในประเทศ
- ที่ตั้ง
- วันหยุด
- เข้าสู่ระบบ
- นาน
- ที่ต้องการหา
- เครื่อง
- แมโคร
- แมโคร
- หลัก
- สำคัญ
- มัลแวร์
- ผู้จัดการ
- ปลามาร์ลิน
- สวมหน้ากาก
- การจับคู่
- MD5
- กลไก
- หน่วยความจำ
- กล่าวถึง
- ข่าวสาร
- ข้อความ
- เมตาดาต้า
- วิธี
- วิธีการ
- ไมโครซอฟท์
- กลาง
- ตะวันออกกลาง
- มิลาน
- มิลลิวินาที
- นาที
- ผสม
- โหมด
- ยิ่งไปกว่านั้น
- มากที่สุด
- ส่วนใหญ่
- ย้าย
- หลาย
- ชื่อ
- ที่มีชื่อ
- คือ
- ชื่อ
- การตั้งชื่อ
- แห่งชาติ
- พื้นเมือง
- สุทธิ
- แต่
- ใหม่
- ถัดไป
- NIST
- ไม่
- โดดเด่น
- ยวด
- จำนวน
- ตัวเลข
- ได้รับ
- ได้รับ
- ที่เกิดขึ้น
- of
- เสนอ
- Office
- มักจะ
- on
- ONE
- เพียง
- การดำเนินการ
- ผู้ประกอบการ
- ตัวเลือกเสริม (Option)
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ของเรา
- ออก
- นอกโลก
- เอาท์พุต
- เกิน
- แทนที่
- ภาพรวม
- หน้า
- พารามิเตอร์
- พารามิเตอร์
- พรรค
- รหัสผ่าน
- รหัสผ่าน
- เส้นทาง
- รูปแบบไฟล์ PDF
- ที่มีประสิทธิภาพ
- ระยะเวลา
- วิริยะ
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- กรุณา
- จุด
- จุด
- พอร์ทัล
- ตำแหน่ง
- อาจ
- โพสต์
- PowerShell
- จวน
- บรรพบุรุษ
- ก่อน
- ก่อนหน้านี้
- ประถม
- ส่วนตัว
- อาจ
- กระบวนการ
- แปรรูปแล้ว
- กระบวนการ
- ผลิตภัณฑ์
- ป้องกัน
- โปรโตคอล
- ให้
- การตีพิมพ์
- วัตถุประสงค์
- คำสั่ง
- สุ่ม
- ค่อนข้าง
- การอ่าน
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- ทะเบียน
- ที่เกี่ยวข้อง
- วางใจ
- รีโมท
- การกำจัด
- ลบออก
- แทนที่
- รายงาน
- รายงาน
- ขอ
- การวิจัย
- นักวิจัย
- แหล่งข้อมูล
- ตามลำดับ
- คำตอบ
- รับผิดชอบ
- REST
- ส่งผลให้
- ผลสอบ
- กลับ
- ทบทวน
- เสกสรร
- วิ่ง
- วิ่ง
- s
- เดียวกัน
- ลด
- ที่บันทึกไว้
- ประหยัด
- เห็น
- กำหนด
- ที่กำหนดไว้
- โครงการ
- รูปแบบ
- ต้นฉบับ
- เอเชียตะวันออกเฉียงใต้
- ที่สอง
- วินาที
- Section
- ภาค
- ความปลอดภัย
- เห็น
- เห็น
- เลือก
- การเลือก
- การส่ง
- ส่ง
- ส่ง
- ชุด
- ให้บริการ
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- บริการ
- บริการ
- ชุด
- หลาย
- ปลาฉลาม
- เปลือก
- แสดง
- แสดงให้เห็นว่า
- คล้ายคลึงกัน
- ความคล้ายคลึงกัน
- ง่าย
- ตั้งแต่
- เว็บไซต์
- เล็ก
- So
- ซอฟต์แวร์
- โซลา
- โซลูชัน
- บาง
- ช่องว่าง
- โดยเฉพาะ
- ที่ระบุไว้
- กระจาย
- การสุม
- ระยะ
- การแสดงละคร
- มาตรฐาน
- เริ่มต้น
- ขโมย
- ขั้นตอน
- ขั้นตอน
- ที่ถูกขโมย
- หยุด
- เก็บไว้
- ร้านค้า
- เชือก
- ภายหลัง
- ต่อจากนั้น
- อย่างเช่น
- รองรับ
- เปลี่ยน
- เครื่องหมาย
- ระบบ
- ระบบ
- ตาราง
- นำ
- ใช้เวลา
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- งาน
- งาน
- วิชาการ
- การวิเคราะห์ทางเทคนิค
- โทรคมนาคม
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- ที่สาม
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- รายงานภัยคุกคาม
- ตลอด
- ดังนั้น
- ขัดขวาง
- ความสัมพันธ์
- เวลา
- ชื่อหนังสือ
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- ด้านบน
- การขนส่ง
- การขนส่ง
- วางใจ
- ที่เชื่อถือ
- สอง
- ชนิด
- ตามแบบฉบับ
- เป็นปกติ
- ผิดปกติ
- ภายใต้
- พร้อมใจกัน
- สหรัฐอาหรับ
- สหรัฐอาหรับเอมิเรตส์
- แตกต่าง
- ไม่ได้ใช้
- ให้กับคุณ
- อัปโหลด
- อัปโหลด
- เมื่อ
- URL
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- ใช้
- การใช้
- v1
- ความคุ้มค่า
- ความคุ้มค่า
- ตัวแปร
- ความหลากหลาย
- ต่างๆ
- รุ่น
- ข้อมูลรุ่น
- รุ่น
- แนวดิ่ง
- มาก
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เยี่ยมชมร้านค้า
- เข้าเยี่ยมชม
- คำเตือน
- คือ
- วิธี
- we
- เว็บ
- เว็บเซิร์ฟเวอร์
- บริการเว็บ
- Website
- เว็บไซต์
- ดี
- คือ
- ที่
- ในขณะที่
- ทั้งหมด
- ความกว้าง
- จะ
- หน้าต่าง
- กับ
- ภายใน
- คำ
- เวิร์กโฟลว์
- การทำงาน
- การเขียน
- เขียน
- ใช่
- ยัง
- ลมทะเล