Дослідники ESET проаналізували дві кампанії групи OilRig APT: Outer Space (2021) і Juicy Mix (2022). Обидві ці кампанії кібершпигунства були націлені виключно на ізраїльські організації, що відповідає зосередженості групи на Близькому Сході, і використовували ту саму інструкцію: OilRig спочатку скомпрометувала законний веб-сайт, щоб використовувати його як C&C-сервер, а потім використала програми VBS для доставки C# /.NET бекдор для своїх жертв, а також розгортання різноманітних посткомпрометованих інструментів, які переважно використовуються для викрадання даних у цільових системах.
У своїй кампанії Outer Space компанія OilRig використовувала простий, раніше незадокументований бекдор C#/.NET, який ми назвали Solar, а також новий завантажувач SampleCheck5000 (або SC5k), який використовує API веб-служб Microsoft Office Exchange для зв’язку C&C. Для кампанії Juicy Mix зловмисники вдосконалили Solar, щоб створити бекдор Mango, який має додаткові можливості та методи обфускації. Окрім виявлення шкідливого набору інструментів, ми також повідомили ізраїльський CERT про скомпрометовані веб-сайти.
Ключові моменти цього блогу:
- ESET спостерігала за двома кампаніями OilRig, які відбулися протягом 2021 (Космічний космос) і 2022 (Соковита суміш).
- Оператори націлювалися виключно на ізраїльські організації та скомпрометували законні ізраїльські веб-сайти для використання в своїх комунікаціях C&C.
- У кожній кампанії вони використовували новий, раніше незадокументований бекдор першого етапу C#/.NET: Solar in Outer Space, потім його наступник Mango у Juicy Mix.
- Обидва бекдори були розгорнуті дропперами VBS, імовірно поширеними через електронні листи.
- В обох кампаніях було застосовано різноманітні інструменти для посткомпрометації, зокрема завантажувач SC5k, який використовує API веб-служб Microsoft Office Exchange для зв’язку C&C, а також кілька інструментів для викрадення даних браузера та облікових даних із диспетчера облікових даних Windows.
OilRig, також відома як APT34, Lyceum або Siamesekitten, — це група кібершпигунства, яка працює щонайменше з 2014 року. прийнято вважати базуватися в Ірані. Група націлена на уряди Близького Сходу та різноманітні бізнес-вертикалі, включаючи хімічну, енергетичну, фінансову та телекомунікаційну галузі. Компанія OilRig провела кампанію DNSPionage у 2018 та 2019, жертви якого були в Лівані та Об’єднаних Арабських Еміратах. У 2019 і 2020 роках OilRig продовжувала атаки з HardPass кампанія, яка використовувала LinkedIn для націлювання на близькосхідних жертв в енергетичному та державному секторах. У 2021 році OilRig оновила свій DanBot бекдор і почав розгортання Акула, Мілан, і бекдори Marlin, згадані в Випуск Т3 2021 року звіту про загрози ESET.
У цій публікації в блозі ми надаємо технічний аналіз бекдорів Solar і Mango, дроппера VBS, який використовувався для доставки Mango, а також інструментів посткомпромісу, які використовуються в кожній кампанії.
приписування
Початковим посиланням, яке дозволило нам зв’язати кампанію Outer Space з OilRig, було використання того самого власного дампера даних Chrome (відстежуваного дослідниками ESET під назвою MKG), що й у Кампанія Out to Sea. Ми спостерігали, як бекдор Solar розгортає той самий зразок MKG, що й у Out to Sea, у системі цілі разом із двома іншими варіантами.
Окрім збігу в інструментах і націлюванні, ми також помітили численні подібності між бекдором Solar і бекдорами, що використовуються в Out to Sea, здебільшого пов’язаними із завантаженням і завантаженням: і Solar, і Shark, ще один бекдор OilRig, використовують URI із простими схемами завантаження та завантаження. для зв’язку з сервером C&C, з «d» для завантаження та «u» для завантаження; крім того, завантажувач SC5k використовує підкаталоги завантажень і завантажень, як і інші бекдори OilRig, а саме ALMA, Shark, DanBot і Milan. Ці знахідки служать додатковим підтвердженням того, що винуватцем створення космосу дійсно є OilRig.
Що стосується зв’язків кампанії Juicy Mix з OilRig, окрім націлювання на ізраїльські організації, що є типовим для цієї шпигунської групи, є подібність коду між Mango, бекдором, який використовується в цій кампанії, та Solar. Крім того, обидва бекдори були розгорнуті програмами VBS з однаковою технікою обфускації рядків. Вибір посткомпромісних інструментів, використаних у Juicy Mix, також відображає попередні кампанії OilRig.
Огляд кампанії «Космічний космос».
Названа за використання астрономічної схеми іменування в назвах функцій і завдань, Outer Space є кампанією OilRig з 2021 року. У цій кампанії група скомпрометувала ізраїльський сайт кадрів і згодом використовувала його як сервер C&C для своїх попередніх недокументований бекдор C#/.NET, Solar. Solar — це простий бекдор із базовими функціями, такими як читання й запис із диска та збір інформації.
Через Solar група потім розгорнула новий завантажувач SC5k, який використовує API веб-служб Office Exchange для завантаження додаткових інструментів для виконання, як показано в REF _Ref142655526 h Рисунок 1
. Щоб отримати дані веб-переглядача з системи жертви, OilRig використовував скидник даних Chrome під назвою MKG.
Огляд кампанії Juicy Mix
У 2022 році OilRig запустив ще одну кампанію, націлену на ізраїльські організації, цього разу з оновленим набором інструментів. Ми назвали кампанію Juicy Mix за використання нового бекдору OilRig Mango (на основі назви його внутрішньої збірки та імені файлу, Mango.exe). У цій кампанії зловмисники скомпрометували законний ізраїльський веб-сайт порталу вакансій для використання в комунікації C&C. Потім шкідливі інструменти групи було застосовано проти організації охорони здоров’я, також розташованої в Ізраїлі.
Бекдор першого етапу Mango є наступником Solar, також написаний на C#/.NET, із помітними змінами, які включають можливості ексфільтрації, використання власних API та доданий код ухилення від виявлення.
Разом із Mango ми також виявили два раніше незадокументованих дампери даних браузера, які використовувалися для викрадення файлів cookie, історії веб-перегляду та облікових даних із браузерів Chrome і Edge, а також крадіжник Windows Credential Manager, усі з яких ми приписуємо OilRig. Усі ці інструменти використовувалися проти тієї ж цілі, що й Mango, а також проти інших скомпрометованих ізраїльських організацій протягом 2021 та 2022 років. REF _Ref125475515 h Рисунок 2
показує огляд того, як різні компоненти використовувалися в кампанії Juicy Mix.
Технічний аналіз
У цьому розділі ми надаємо технічний аналіз бекдорів Solar і Mango і завантажувача SC5k, а також інших інструментів, які були розгорнуті в цільових системах у цих кампаніях.
крапельниці VBS
Щоб закріпитися на цільовій системі, в обох кампаніях використовувалися сценарії Visual Basic Script (VBS), які, ймовірно, поширювалися через електронні листи. Наш аналіз, наведений нижче, зосереджений на сценарії VBS, який використовується для видалення Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); зауважте, що крапельниця Solar дуже схожа.
Метою програми-дропера є надання вбудованого бекдору Mango, планування завдання для збереження та реєстрація компромісу на сервері C&C. Вбудований бекдор зберігається як ряд підрядків base64, які об’єднуються та декодуються base64. Як показано в REF _Ref125477632 h Рисунок 3
сценарій також використовує просту техніку деобфускації рядків, де рядки збираються за допомогою арифметичних операцій і Chr функції.
Крім того, VBS-дропер від Mango додає ще один тип обфускації рядків і код для налаштування збереження та реєстрації на сервері C&C. Як показано в REF _Ref125479004 h * MERGEFORMAT Рисунок 4
, для деобфускації деяких рядків сценарій замінює будь-які символи в наборі #*+-_)(}{@$%^& з 0, потім ділить рядок на тризначні числа, які потім перетворюються на символи ASCII за допомогою Chr
функція. Наприклад, рядок 116110101109117+99111$68+77{79$68}46-50108109120115}77 перекладає на Msxml2.DOMDocument.
Після того, як бекдор вбудовано в систему, дроппер переходить до створення запланованого завдання, яке виконує Mango (або Solar в іншій версії) кожні 14 хвилин. Нарешті, сценарій надсилає ім’я скомпрометованого комп’ютера в кодуванні base64 через запит POST, щоб зареєструвати бекдор на його сервері C&C.
Сонячний бекдор
Solar — це бекдор, який використовується в кампанії OilRig Outer Space. Маючи базові функції, цей бекдор можна використовувати, серед іншого, для завантаження та виконання файлів, а також для автоматичного вилучення поетапних файлів.
Ми вибрали назву Solar на основі назви файлу, яку використовує OilRig, Solar.exe. Це підходяща назва, оскільки бекдор використовує схему імен астрономії для назв своїх функцій і завдань, які використовуються у всьому двійковому файлі (Меркурій, Венера, березня, Земля та Юпітер).
Solar починає виконання, виконавши кроки, показані в REF _Ref98146919 h * MERGEFORMAT Рисунок 5
.
Бекдор створює два завдання, Земля
та Венера, які виконуються в пам’яті. Для жодного з двох завдань немає функції зупинки, тому вони виконуватимуться нескінченно. Земля
заплановано запускати кожні 30 секунд і Венера
налаштовано на виконання кожні 40 секунд.
Земля є основним завданням, відповідальним за основну частину функцій Solar. Він спілкується з C&C сервером за допомогою функції MercuryToSun, який надсилає основну інформацію про систему та версію зловмисного програмного забезпечення на сервер C&C, а потім обробляє відповідь сервера. Земля надсилає таку інформацію на C&C сервер:
- Рядок (@); весь рядок зашифровано.
- Рядок 1.0.0.0, зашифрований (можливо, номер версії).
- Рядок 30000, зашифрований (можливо, запланований час виконання Земля
Шифрування та дешифрування реалізовано у названих функціях ЮпітерЕ
та ЮпітерD, відповідно. Обидва вони викликають функцію з іменем Юпітер X, який реалізує цикл XOR, як показано на REF _Ref98146962 h Рисунок 6
.
Ключ походить із жорстко закодованої глобальної рядкової змінної, 6sEj7*0B7#7, А в нунцій: у цьому випадку випадковий шістнадцятковий рядок довжиною від 2 до 24 символів. Після шифрування XOR використовується стандартне кодування base64.
Веб-сервер ізраїльської кадрової компанії, який OilRig скомпрометував у певний момент перед розгортанням Solar, використовувався як сервер C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Перш ніж додаватися до URI, nonce шифрування шифрується, а значення початкового рядка запиту, rt, встановлено на d тут, ймовірно, для «завантаження».
Останній крок MercuryToSun
функція полягає в обробці відповіді від C&C сервера. Це робиться шляхом отримання підрядка відповіді, який знаходиться між символами QQ@ та @kk. Ця відповідь являє собою рядок інструкцій, розділених зірочками (*), який обробляється в масив. Земля
потім виконує бекдор-команди, які включають завантаження додаткових корисних даних із сервера, перелік файлів у системі жертви та запуск певних виконуваних файлів.
Потім вихідні дані команди стискаються gzip за допомогою функції Нептун
і зашифровано за допомогою того самого ключа шифрування та нового nonce. Потім результати завантажуються на сервер C&C, таким чином:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid і новий nonce зашифровано за допомогою ЮпітерЕ
функція, а тут значення о rt встановлений в u, ймовірно, для «завантаження».
Венера, інше заплановане завдання, використовується для автоматизованого вилучення даних. Це невелике завдання копіює вміст файлів із каталогу (також називається Венера) на сервер C&C. Ймовірно, ці файли завантажені сюди іншим, поки що невідомим, інструментом OilRig. Після завантаження файлу завдання видаляє його з диска.
Манго бекдор
Для своєї кампанії Juicy Mix компанія OilRig перейшла з бекдору Solar на Mango. Він має подібний робочий процес до Solar і перекриває можливості, але все ж є кілька помітних змін:
- Використання TLS для комунікацій C&C.
- Використання власних API, а не .NET API, для виконання файлів і команд оболонки.
- Хоча він не використовувався активно, був введений код ухилення від виявлення.
- Підтримка автоматизованої ексфільтрації (Венера
- Підтримку режиму журналу було вилучено, а назви символів затьмарено.
Всупереч астрономічній схемі найменування Solar, Mango приховує свої назви символів, як можна побачити в REF _Ref142592880 h Рисунок 7
.
Окрім обфускації імені символу, Mango також використовує метод стекування рядків (як показано в REF _Ref142592892 h Рисунок 8
REF _Ref141802299 h
) для обфускації рядків, що ускладнює використання простих методів виявлення.
Подібно до Solar, бекдор Mango починається зі створення в пам’яті завдання, яке заплановано на необмежений час кожні 32 секунди. Це завдання спілкується з C&C сервером і виконує команди бекдору, подібні до Solar Земля
завдання. У той час як Solar також створює Венера, завдання для автоматизованого вилучення, цю функцію було замінено в Mango новою командою бекдору.
У головному завданні Mango спочатку генерує ідентифікатор жертви, , для використання в зв’язку C&C. Ідентифікатор обчислюється як хеш MD5 , відформатований як шістнадцятковий рядок.
Щоб запитати команду бекдору, Mango надсилає рядок d@ @ | на сервер C&C http://www.darush.co[.]il/ads.asp – законний ізраїльський портал вакансій, ймовірно, зламаний OilRig перед цією кампанією. Ми повідомили ізраїльську національну організацію CERT про компроміс.
Тіло запиту складається наступним чином:
- Дані, що передаються, шифруються XOR за допомогою ключа шифрування Q&4g, потім у кодуванні base64.
- З цього алфавіту (як вказано в коді) генерується псевдовипадковий рядок із 3–14 символів: i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Зашифровані дані вставляються в псевдовипадкову позицію в згенерований рядок, укладений між [@ та @] роздільники.
Для зв’язку зі своїм C&C сервером Mango використовує протокол TLS (Transport Layer Security), який використовується для забезпечення додаткового рівня шифрування..
Подібним чином команда бекдору, отримана від сервера C&C, шифрується XOR, кодується base64, а потім укладається між [@ та @] у тілі відповіді HTTP. Сама команда або NCNT
(у цьому випадку жодних дій не виконується) або рядок із кількома параметрами, розділеними
@, як детально описано в REF _Ref125491491 h таблиця 1
, у якому перераховано бекдор-команди Mango. Зауважте, що не вказано в таблиці, але використовується у відповіді на сервер C&C.
Таблиця 1. Список бекдор-команд Mango
arg1 |
arg2 |
arg3 |
Дії прийняті |
Повернене значення |
|
1 або порожній рядок |
+sp |
N / A |
Виконує вказану команду файлу/оболонки (з необов’язковими аргументами), використовуючи рідний CreateProcess API, імпортований через DllImport. Якщо аргументи містять [S], його замінено на C: WindowsSystem32. |
Вивід команди. |
|
+ню |
N / A |
Повертає рядок версії шкідливого програмного забезпечення та URL-адресу C&C. |
|; в цьому випадку: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Перераховує вміст зазначеного каталогу (або поточного робочого каталогу). |
Довідник Для кожного підкаталогу:
Для кожного файлу: ФАЙЛ Режисер(и) Файл(и) |
||
+dn |
N / A |
Завантажує вміст файлу на сервер C&C через новий запит HTTP POST у форматі: u@ @ | @ @2@. |
Один з: · файл [ ] завантажується на сервер. · файл не знайдено! · шлях до файлу порожній! |
||
2 |
Дані в кодуванні Base64 |
ім'я файлу |
Вивантажує вказані дані у файл у робочому каталозі. |
файл завантажено на шлях [ ] |
Кожна бекдор-команда обробляється в новому потоці, а їхні повернуті значення потім кодуються base64 і об’єднуються з іншими метаданими. Нарешті, цей рядок надсилається на сервер C&C за допомогою того самого протоколу та методу шифрування, як описано вище.
Невикористана техніка ухилення від виявлення
Цікаво, що ми знайшли невикористаний техніка ухилення від виявлення в Манго. Функція, відповідальна за виконання файлів і команд, завантажених із C&C-сервера, приймає необов’язковий другий параметр – ідентифікатор процесу. Якщо встановлено, Mango використовує UpdateProcThreadAttribute
API для встановлення PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) атрибут для вказаного процесу в значення: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), як показано в REF _Ref125480118 h Рисунок 9
.
Мета цієї техніки полягає в тому, щоб заблокувати рішення безпеки кінцевих точок від завантаження своїх перехоплювачів коду режиму користувача через DLL у цьому процесі. Хоча цей параметр не використовувався в зразку, який ми проаналізували, він може бути активований у майбутніх версіях.
версія 1.1.1
Не пов’язано з кампанією Juicy Mix, у липні 2023 року ми знайшли нову версію бекдору Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), завантажений у VirusTotal кількома користувачами під іменем Menorah.exe. Внутрішню версію в цьому зразку було змінено з 1.0.0 на 1.1.1, але єдиною помітною зміною є використання іншого C&C сервера, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Разом із цією версією ми також виявили документ Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) зі шкідливим макросом, який скидає бекдор. REF _Ref143162004 h Рисунок 10
показує фальшиве попередження, яке спонукає користувача ввімкнути макроси для документа, і приманний вміст, який відображається після цього, поки шкідливий код працює у фоновому режимі.
Малюнок 10. Документ Microsoft Word із шкідливим макросом, який пропускає Mango v1.1.1
Посткомпромісні інструменти
У цьому розділі ми розглядаємо добірку посткомпрометованих інструментів, які використовуються в кампаніях OilRig Outer Space і Juicy Mix, спрямованих на завантаження та виконання додаткових корисних навантажень і викрадення даних із зламаних систем.
Завантажувач SampleCheck5000 (SC5k).
SampleCheck5000 (або SC5k) — це завантажувач, який використовується для завантаження та виконання додаткових інструментів OilRig, особливого використання API веб-служб Microsoft Office Exchange для зв’язку C&C: зловмисники створюють чернетки повідомлень у цьому обліковому записі електронної пошти та ховають там бекдор-команди. Згодом завантажувач входить у той самий обліковий запис і аналізує чернетки, щоб отримати команди та корисні дані для виконання.
SC5k використовує попередньо визначені значення – URL-адресу Microsoft Exchange, адресу електронної пошти та пароль – для входу на віддалений сервер Exchange, але він також підтримує можливість замінити ці значення за допомогою файлу конфігурації в поточному робочому каталозі під назвою налаштування.ключ. Ми вибрали назву SampleCheck5000 на основі однієї з електронних адрес, яку інструмент використовував у кампанії Outer Space.
Після входу SC5k на віддалений сервер Exchange він отримує всі електронні листи в Шашки
каталог, сортує їх за останніми, зберігаючи лише чернетки з вкладеннями. Потім він переглядає кожну чернетку повідомлення з вкладенням, шукаючи вкладення JSON, які містять “Дані” в організмі. Він витягує значення з ключа дані у файлі JSON base64 декодує та розшифровує значення та викликає cmd.exe щоб виконати отриманий рядок командного рядка. Потім SC5k зберігає вихідні дані cmd.exe
виконання до локальної змінної.
На наступному етапі циклу завантажувач повідомляє про результати операторам OilRig, створюючи нове повідомлення електронної пошти на сервері Exchange і зберігаючи його як чернетку (не надсилаючи), як показано на REF _Ref98147102
h * MERGEFORMAT Рисунок 11
. Подібна техніка використовується для вилучення файлів із локальної проміжної папки. На останньому етапі циклу SC5k також записує вихідні дані команди в зашифрованому та стисненому форматі на диск.
Дампери даних браузера
Для операторів OilRig характерним є використання скидачів даних браузера у своїх діях після компрометації. Ми виявили два нових викрадача даних браузера серед посткомпрометованих інструментів, застосованих у кампанії Juicy Mix разом із бекдором Mango. Вони скидають викрадені дані браузера в % TEMP% у файли з іменами Cupdate
та Eupdate
(звідси наші назви для них: CDumper та EDumper).
Обидва інструменти є викрадачами даних браузера C#/.NET, збираючи файли cookie, історію веб-перегляду та облікові дані з браузерів Chrome (CDumper) і Edge (EDumper). Ми зосереджуємо наш аналіз на CDumper, оскільки обидва викрадачі практично ідентичні, за винятком деяких констант.
Після виконання CDumper створює список користувачів із встановленим Google Chrome. Під час виконання викрадач підключається до Chrome SQLite Файли cookie, Історія
та Дані для входу бази даних під %APPDATA%LocalGoogleChromeUser Data, і збирає дані веб-переглядача, включаючи відвідані URL-адреси та збережені логіни, використовуючи запити SQL.
Потім значення файлів cookie розшифровуються, а вся зібрана інформація додається до файлу журналу під назвою C: Користувачі AppDataLocalTempCupdate, відкритим текстом. Ця функція реалізована у функціях CDumper під назвою CookieGrab
(Див. REF _Ref126168131 h Рисунок 12
), HistoryGrab, та PasswordGrab. Зауважте, що в CDumper не реалізовано механізму вилучення, але Mango може вилучати вибрані файли за допомогою команди бекдору.
І в космосі, і раніше У морі кампанії OilRig використовував скидник даних C/C++ Chrome під назвою MKG. Подібно до CDumper і EDumper, MKG також міг викрасти імена користувачів і паролі, історію веб-перегляду та файли cookie з браузера. Цей дампер даних Chrome зазвичай розгортається в таких розташуваннях файлів (при цьому перше розташування є найпоширенішим):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Викрадач Windows Credential Manager
Окрім інструментів для дампінгу даних браузера, OilRig також використовував Windows Credential Stealer у кампанії Juicy Mix. Цей інструмент викрадає облікові дані з Windows Credential Manager і, подібно до CDumper та EDumper, зберігає їх у % TEMP% каталогу – цього разу у файл з назвою IUpdate
(звідси назва IDumper). На відміну від CDumper і EDumper, IDumper реалізовано як сценарій PowerShell.
Як і у випадку з інструментами браузерного дампера, OilRig нерідко збирає облікові дані з диспетчера облікових даних Windows. Раніше за операторами OilRig спостерігали за допомогою VALUEVAULT, a загальнодоступні, Інструмент крадіжки облікових даних, скомпільований Go (див Кампанія HardPass 2019 і 2020 кампанія), з тією ж метою.
Висновок
OilRig продовжує впроваджувати інновації та створювати нові імплантати з можливостями, схожими на бекдор, одночасно знаходячи нові способи виконання команд у віддалених системах. Група покращила свій бекдор C#/.NET Solar із кампанії Outer Space, щоб створити новий бекдор під назвою Mango для кампанії Juicy Mix. Група розгортає набір користувальницьких посткомпромісних інструментів, які використовуються для збору облікових даних, файлів cookie та історії веб-перегляду з основних браузерів і з диспетчера облікових даних Windows. Незважаючи на ці інновації, OilRig також продовжує покладатися на встановлені способи отримання даних користувачів.
З будь-якими запитами щодо нашого дослідження, опублікованого на WeLiveSecurity, зв’яжіться з нами за адресою prijetintel@eset.com.
ESET Research пропонує приватні звіти APT та канали даних. Якщо у вас є запитання щодо цієї послуги, відвідайте ESET Threat Intelligence стр.
IoCs
Файли
SHA-1 |
ім'я файлу |
Ім’я виявлення ESET |
Опис |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Документ зі зловмисним макросом Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
крапельниця VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Сонячний бекдор. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Бекдор Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Бекдор Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Крайовий дампер. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Дамп Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Диспетчер облікових даних Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Дамп Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Дамп Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Дамп Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Завантажувач SC5k (32-бітна версія). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Завантажувач SC5k (64-бітна версія). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
Завантажувач SC5k (64-бітна версія). |
мережу
IP |
Область |
Хостинг-провайдер |
Вперше побачили |
ПОДРОБИЦІ |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
Методи MITER ATT & CK
Ця таблиця була побудована за допомогою версія 13 рамки MITER ATT & CK.
Тактика |
ID |
ІМ'Я |
Опис |
Розвиток ресурсів |
Інфраструктура компромісу: сервер |
У кампаніях Outer Space і Juicy Mix компанія OilRig скомпрометувала законні веб-сайти для розміщення шкідливих інструментів і комунікацій C&C. |
|
Розвивайте можливості: шкідливі програми |
OilRig розробила користувальницькі бекдори (Solar і Mango), завантажувач (SC5k) і набір інструментів для крадіжки облікових даних для використання у своїй діяльності. |
||
Можливості етапу: завантаження шкідливих програм |
OilRig завантажив шкідливі компоненти на свої C&C сервери та зберіг попередньо підготовлені файли та команди в Шашки каталог електронної пошти облікового запису Office 365 для SC5k для завантаження та виконання. |
||
Можливості сцени: інструмент завантаження |
OilRig завантажив шкідливі інструменти на свої C&C сервери та зберіг попередньо підготовлені файли в Шашки каталог електронної пошти облікового запису Office 365 для SC5k для завантаження та виконання. |
||
Початковий доступ |
Фішинг: вкладення Spearphishing |
Ймовірно, OilRig поширювала свої кампанії Outer Space і Juicy Mix за допомогою фішингових електронних листів із прикріпленими додатками VBS. |
|
Виконання |
Запланована задача/завдання: запланована задача |
Інструменти OilRig IDumper, EDumper і CDumper використовують заплановані завдання з назвами тобто, вид , та куб виконувати себе в контексті інших користувачів. Solar і Mango використовують завдання C#/.NET на таймері для повторного виконання своїх основних функцій. |
|
Інтерпретатор команд і сценаріїв: PowerShell |
Інструмент IDumper від OilRig використовує PowerShell для виконання. |
||
Інтерпретатор команд та сценаріїв: командна оболонка Windows |
Використання OilRig Solar, SC5k, IDumper, EDumper і CDumper cmd.exe для виконання завдань у системі. |
||
Інтерпретатор команд і сценаріїв: Visual Basic |
OilRig використовує шкідливий VBScript для доставки та збереження своїх бекдорів Solar і Mango. |
||
Native API |
Бекдор Mango від OilRig використовує CreateProcess Windows API для виконання. |
||
Наполегливість |
Запланована задача/завдання: запланована задача |
Дроппер OilRig VBS планує завдання під назвою ReminderTask щоб встановити стійкість для бекдору Mango. |
|
Ухилення від захисту |
Маскування: Знайдіть відповідне законне ім’я чи місцезнаходження |
OilRig використовує законні або нешкідливі імена файлів для свого зловмисного програмного забезпечення, щоб маскуватися від захисників і програмного забезпечення безпеки. |
|
Заплутані файли або інформація: пакет програмного забезпечення |
OilRig використовував Упаковувач сценаріїв SAPIEN та Обфускатор SmartAssembly щоб заплутати свій інструмент IDumper. |
||
Обфусковані файли або інформація: вбудовані корисні навантаження |
Додатки OilRig VBS містять зловмисне корисне навантаження, вбудоване в них у вигляді серії підрядків base64. |
||
Маскарад: завдання або послуга маскараду |
Щоб виглядати легітимним, VBS-дропер Mango планує завдання з описом Запустіть блокнот у певний час. |
||
Видалення індикатора: чітке збереження |
Посткомпромісні інструменти OilRig видаляють свої заплановані завдання через певний період часу. |
||
Деобфускація/декодування файлів або інформації |
OilRig використовує кілька методів обфускації для захисту своїх рядків і вбудованих корисних навантажень. |
||
Підірвати контроль довіри |
SC5k використовує Office 365, як правило, довірену третю сторону, яку захисники часто не помічають, як сайт для завантаження. |
||
Порушити захист |
Бекдор Mango від OilRig має (поки що) невикористану можливість блокувати рішення безпеки кінцевих точок від завантаження коду режиму користувача в певних процесах. |
||
Доступ до облікових даних |
Облікові дані зі сховищ паролів: облікові дані з веб-браузерів |
Спеціальні інструменти OilRig MKG, CDumper і EDumper можуть отримувати облікові дані, файли cookie та історію веб-перегляду з браузерів Chrome і Edge. |
|
Облікові дані зі сховищ паролів: Диспетчер облікових даних Windows |
Спеціальний інструмент IDumper від OilRig може викрасти облікові дані з диспетчера облікових даних Windows. |
||
Відкриття |
Виявлення системної інформації |
Mango отримує скомпрометоване ім'я комп'ютера. |
|
Виявлення файлів і каталогів |
У Mango є команда для перерахування вмісту вказаного каталогу. |
||
Виявлення власника/користувача системи |
Mango отримує ім'я користувача жертви. |
||
Виявлення облікового запису: локальний обліковий запис |
Інструменти OilRig EDumper, CDumper і IDumper можуть нумерувати всі облікові записи користувачів на скомпрометованому хості. |
||
Відкриття інформації браузера |
MKG видаляє історію та закладки Chrome. |
||
Управління та контроль |
Протокол прикладного рівня: веб -протоколи |
Mango використовує HTTP у зв’язку C&C. |
|
Передача вхідного інструменту |
Mango має можливість завантажувати додаткові файли з C&C сервера для подальшого виконання. |
||
Захоплення даних |
Solar і SC5k використовують простий метод шифрування XOR разом із стисненням gzip для обфускації даних у стані спокою та під час передачі. |
||
Веб-сервіс: двонаправлений зв'язок |
SC5k використовує Office 365 для завантаження файлів із і завантаження файлів у Шашки каталог у законному обліковому записі електронної пошти. |
||
Кодування даних: Стандартне кодування |
Solar, Mango та MKG base64 декодують дані перед надсиланням на сервер C&C. |
||
Зашифрований канал: Симетрична криптографія |
Mango використовує шифр XOR з ключем Q&4g для шифрування даних у зв’язку C&C. |
||
Зашифрований канал: асиметрична криптографія |
Mango використовує TLS для зв’язку C&C. |
||
ексфільтраціі |
Ексфільтрація по каналу С2 |
Mango, Solar і SC5k використовують свої канали C&C для ексфільтрації. |
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : має
- :є
- : ні
- :де
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Здатний
- МЕНЮ
- вище
- рахунки
- Рахунки
- дію
- активний
- активно
- діяльності
- актори
- доданий
- доповнення
- Додатковий
- Додатково
- адреса
- адреси
- Додає
- після
- потім
- проти
- Агент
- спрямований
- ВСІ
- дозволено
- ALMA
- по
- пліч-о-пліч
- Алфавіт
- Також
- серед
- an
- аналіз
- проаналізовані
- та
- Інший
- будь-який
- API
- Інтерфейси
- з'являтися
- з'являється
- прикладної
- APT
- арабська
- Арабські Емірати
- архів
- ЕСТЬ
- аргументація
- масив
- AS
- зібраний
- збірка
- астрономія
- At
- нападки
- Автоматизований
- автоматично
- закулісний
- бекдори
- фон
- заснований
- основний
- BE
- було
- перед тим
- почалася
- за
- буття
- нижче
- крім
- між
- Блокувати
- тіло
- закладки
- обидва
- браузер
- браузери
- Перегляд
- побудований
- бізнес
- але
- by
- call
- званий
- Виклики
- Кампанія
- Кампанії
- CAN
- можливості
- можливості
- carried
- випадок
- певний
- зміна
- змінилися
- Зміни
- Канал
- канали
- характеристика
- символи
- хімічний
- вибір
- вибрав
- Chrome
- шифр
- ясно
- код
- збирати
- Збір
- COM
- комбінований
- загальний
- зазвичай
- спілкуватися
- Комунікація
- зв'язку
- Компанії
- Компоненти
- компроміс
- Компрометація
- комп'ютер
- конфігурація
- підтвердження
- З'єднуватися
- з'єднує
- контакт
- містити
- зміст
- контекст
- триває
- триває
- перероблений
- печиво
- може
- створювати
- створює
- створення
- створення
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- Поточний
- виготовлений на замовлення
- дані
- базами даних
- Розшифрувати
- Захисники
- доставляти
- розгортання
- розгорнути
- розгортання
- розгортає
- Отриманий
- описаний
- description
- Незважаючи на
- докладно
- виявлено
- Виявлення
- розвиненою
- різний
- відкритий
- відкриття
- displayed
- розподілений
- розділяє
- документ
- робить
- скачати
- завантажень
- проект
- Падіння
- впав
- Випадання
- краплі
- дамп
- кожен
- Раніше
- Схід
- східний
- край
- або
- повідомлення електронної пошти
- вбудований
- емірати
- працевлаштований
- включіть
- зашифрованих
- шифрування
- Кінцева точка
- Захист кінцевої точки
- енергія
- заманливо
- шпигунство
- встановити
- встановлений
- ухилення
- Кожен
- приклад
- обмін
- виключно
- виконувати
- виконано
- Виконує
- виконання
- виконання
- ексфільтрація
- Виписки
- підроблений
- філе
- Файли
- в кінці кінців
- фінансовий
- виявлення
- результати
- Перший
- пристосування
- потік
- Сфокусувати
- фокусується
- після
- слідує
- для
- формат
- знайдений
- Рамки
- від
- від 2021
- функція
- функціональні можливості
- функціональність
- Функції
- далі
- майбутнє
- збір
- в цілому
- генерується
- генерує
- Глобальний
- мета
- Google Chrome
- Уряд
- Уряду
- Group
- Групи
- Ручки
- мішанина
- Мати
- охорона здоров'я
- отже
- тут
- HEX
- приховувати
- історія
- гачки
- господар
- Як
- HTML
- HTTP
- HTTPS
- людина
- Людськими ресурсами
- ID
- однаковий
- ідентифікатор
- if
- зображення
- реалізовані
- implements
- поліпшений
- in
- включати
- У тому числі
- дійсно
- інформація
- інформація
- Інфраструктура
- початковий
- оновлювати
- інновації
- Запити
- встановлений
- замість
- інструкції
- Інтелект
- внутрішній
- в
- введені
- Іран
- Ізраїль
- IT
- ЙОГО
- сам
- робота
- json
- липень
- просто
- зберігання
- ключ
- відомий
- останній
- запущений
- шар
- найменш
- Ліван
- залишити
- законний
- як
- Ймовірно
- Лінія
- LINK
- список
- Перераховані
- список
- списки
- погрузка
- місцевий
- розташування
- місць
- журнал
- Довго
- шукати
- машина
- Macro
- макроси
- головний
- основний
- шкідливих програм
- менеджер
- Marlin
- маскарад
- матч
- MD5
- механізм
- пам'ять
- згаданий
- повідомлення
- повідомлення
- метадані
- метод
- методика
- Microsoft
- Середній
- середній Схід
- MILAN
- мілісекунд
- хвилин
- змішувати
- режим
- Більше того
- найбільш
- в основному
- рухається
- множинний
- ім'я
- Названий
- а саме
- Імена
- іменування
- National
- рідний
- мережу
- проте
- Нові
- наступний
- nist
- немає
- Помітний
- особливо
- номер
- номера
- отримувати
- отримує
- сталося
- of
- Пропозиції
- Office
- часто
- on
- ONE
- тільки
- операції
- Оператори
- варіант
- or
- порядок
- організація
- організації
- Інше
- наші
- з
- космічний простір
- вихід
- над
- перевизначення
- огляд
- сторінка
- параметр
- параметри
- партія
- Пароль
- Паролі
- шлях
- виконанні
- period
- наполегливість
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- будь ласка
- точка
- точок
- Портал
- положення
- можливо
- пошта
- PowerShell
- практично
- попередник
- попередній
- раніше
- первинний
- приватний
- ймовірно
- процес
- Оброблено
- процеси
- Product
- захист
- протокол
- забезпечувати
- опублікований
- мета
- запити
- випадковий
- швидше
- читання
- отримано
- останній
- реєструвати
- пов'язаний
- покладатися
- віддалений
- видалення
- Вилучено
- замінити
- звітом
- Звіти
- запросити
- дослідження
- Дослідники
- ресурси
- відповідно
- відповідь
- відповідальний
- REST
- в результаті
- результати
- повертати
- огляд
- установка
- прогін
- біг
- s
- то ж
- зберегти
- зберігаються
- економія
- бачив
- розклад
- плановий
- схема
- схеми
- сценарій
- SEA
- другий
- seconds
- розділ
- Сектори
- безпеку
- побачити
- бачив
- обраний
- вибір
- відправка
- посилає
- посланий
- Серія
- служити
- сервер
- Сервери
- обслуговування
- Послуги
- комплект
- кілька
- Акула
- Склад
- показаний
- Шоу
- аналогічний
- схожість
- простий
- з
- сайт
- невеликий
- So
- Софтвер
- сонячний
- Рішення
- деякі
- Простір
- конкретний
- зазначений
- поширення
- укладання
- Стажування
- інсценування
- standard
- починається
- крадеться
- Крок
- заходи
- вкрали
- Стоп
- зберігати
- магазинів
- рядок
- наступні
- Згодом
- такі
- Опори
- переключено
- символ
- система
- Systems
- таблиця
- прийняті
- приймає
- Мета
- цільове
- націлювання
- цілі
- Завдання
- завдання
- технічний
- Технічний Аналіз
- зв'язок
- ніж
- Що
- Команда
- їх
- Їх
- самі
- потім
- Там.
- Ці
- вони
- речі
- третій
- це
- загроза
- актори загроз
- Звіт про загрози
- по всьому
- Таким чином
- зірвати
- Зв'язку
- час
- назва
- до
- інструмент
- інструменти
- топ
- транзит
- перевезення
- Довіряйте
- Довірений
- два
- тип
- типовий
- типово
- Uncommon
- при
- United
- Об'єднана Арабська
- Об'єднані Арабські Емірати
- на відміну від
- невикористаний
- оновлений
- завантажено
- Завантаження
- на
- URL
- us
- використання
- використовуваний
- користувач
- користувачі
- використовує
- використання
- v1
- значення
- Цінності
- змінна
- різноманітність
- різний
- версія
- інформація про версію
- версії
- вертикалі
- дуже
- через
- Жертва
- жертви
- візит
- visited
- попередження
- було
- способи
- we
- Web
- Веб-сервер
- веб-сервіси
- веб-сайт
- веб-сайти
- ДОБРЕ
- були
- який
- в той час як
- всі
- ширина
- волі
- windows
- з
- в
- слово
- робочий
- робочий
- лист
- письмовий
- так
- ще
- зефірнет