Các nhà nghiên cứu của ESET đã phân tích số lượng ngày càng tăng các trình tải xuống OilRig mà nhóm đã sử dụng trong một số chiến dịch trong suốt năm 2022, để duy trì quyền truy cập vào các tổ chức mục tiêu được đặc biệt quan tâm – tất cả đều có trụ sở tại Israel. Các trình tải xuống nhẹ này, được chúng tôi đặt tên là SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent và OilBooster, nổi bật vì sử dụng một trong một số API dịch vụ đám mây hợp pháp để liên lạc C&C và lọc dữ liệu: API Microsoft Graph OneDrive hoặc Outlook và API dịch vụ web Microsoft Office Exchange (EWS).
Trong mọi trường hợp, người tải xuống sử dụng tài khoản dùng chung (email hoặc bộ nhớ đám mây) do OilRig vận hành để trao đổi tin nhắn với các nhà khai thác OilRig; cùng một tài khoản thường được nhiều nạn nhân chia sẻ. Người tải xuống truy cập vào tài khoản này để tải xuống các lệnh và tải trọng bổ sung do người vận hành sắp xếp cũng như tải lên các tệp đầu ra lệnh và các tệp theo giai đoạn.
Chúng tôi đã phát hiện ra phần mềm tải xuống SC5k (v1) sớm nhất trong loạt sản phẩm này vào tháng 2021 năm XNUMX, khi nó được sử dụng trong chiến dịch Outer Space của OilRig, được ghi lại trong tài liệu của chúng tôi. bài đăng blog gần đây. Trong bài đăng blog hiện tại, chúng tôi tập trung vào tất cả các sản phẩm kế nhiệm SC5k mà OilRig đã phát triển trong suốt năm 2022, với một biến thể mới được giới thiệu vài tháng một lần; chúng tôi cũng sẽ xem xét kỹ hơn các cơ chế được sử dụng bởi những người tải xuống này. Chúng tôi cũng so sánh những trình tải xuống này với các backdoor OilRig khác sử dụng giao thức C&C dựa trên email và đã được báo cáo vào đầu năm nay bởi Trend Micro (MrPerfectionManager) và Symantec (Trao đổi sức mạnh).
Cuối cùng, bài viết blog này cũng mở rộng trên Bài thuyết trình LABScon 2023, nơi chúng tôi đi sâu vào cách OilRig giữ quyền truy cập vào các tổ chức Israel đã chọn: tất cả các trình tải xuống được nghiên cứu trong bài đăng trên blog này đều được triển khai trong các mạng trước đây bị ảnh hưởng bởi nhiều công cụ OilRig, điều này nhấn mạnh thực tế là OilRig liên tục nhắm mục tiêu vào các tổ chức tương tự, và quyết tâm giữ chỗ đứng của mình trong các mạng bị xâm nhập.
Các điểm chính của bài đăng blog này:
- OilRig đã tích cực phát triển và sử dụng một loạt trình tải xuống có logic tương tự trong suốt năm 2022: ba trình tải xuống mới – ODAgent, OilCheck, OilBooster – và các phiên bản mới hơn của trình tải xuống SC5k.
- Những người tải xuống sử dụng nhiều API dịch vụ đám mây hợp pháp khác nhau để liên lạc C&C và lọc dữ liệu: API Microsoft Graph OneDrive, API Microsoft Graph Outlook và API Microsoft Office EWS.
- Các mục tiêu đều ở Israel, bao gồm một tổ chức trong lĩnh vực chăm sóc sức khỏe, một công ty sản xuất, một tổ chức chính quyền địa phương và các tổ chức khác.
- Tất cả các mục tiêu trước đây đều bị ảnh hưởng bởi nhiều chiến dịch OilRig.
Ghi công
OilRig, còn được gọi là APT34, Lyceum, Crambus hoặc Siamesekitten, là một nhóm gián điệp mạng đã hoạt động ít nhất từ năm 2014 và đang thường được tin tưởng có trụ sở tại Iran. Nhóm này nhắm mục tiêu vào các chính phủ Trung Đông và nhiều ngành kinh doanh khác nhau, bao gồm hóa chất, năng lượng, tài chính và viễn thông.
OilRig đã thực hiện chiến dịch DNSpionage vào năm 2018 và 2019, nhắm vào các nạn nhân ở Lebanon và Các Tiểu vương quốc Ả Rập Thống nhất. Trong năm 2019 và 2020, OilRig tiếp tục tấn công với Thẻ cứng chiến dịch sử dụng LinkedIn để nhắm mục tiêu vào các nạn nhân Trung Đông trong lĩnh vực năng lượng và chính phủ. Vào năm 2021, OilRig đã cập nhật DanBot cửa hậu và bắt đầu triển khai Cá mập, Milanvà các cửa hậu Marlin, như đã đề cập trong phần T3 2021 vấn đề về Báo cáo mối đe dọa ESET. Vào năm 2022 và 2023, nhóm này đã thực hiện một số cuộc tấn công nhằm vào các tổ chức chính quyền địa phương và tổ chức chăm sóc sức khỏe ở Israel bằng cách sử dụng các cửa hậu mới của mình. Năng lượng mặt trời và xoài. Vào năm 2023, OilRig nhắm mục tiêu vào các tổ chức ở Trung Đông với Trao đổi điện và MrPerfectionManager backdoor và các công cụ liên quan để thu thập thông tin đăng nhập tài khoản hộp thư nội bộ và sau đó tận dụng các tài khoản này để đánh cắp.
Chúng tôi gán các trình tải xuống SC5k (v1-v3), ODAgent, OilCheck và OilBooster cho OilRig với mức độ tin cậy cao, dựa trên các chỉ số sau:
- Mục tiêu:
- Những trình tải xuống này được triển khai độc quyền để chống lại các tổ chức của Israel, phù hợp với mục tiêu nhắm mục tiêu điển hình của OilRig.
- Ngành dọc được quan sát của các nạn nhân cũng phù hợp với lợi ích của OilRig – ví dụ: chúng tôi đã thấy OilRig trước đây nhắm mục tiêu vào ngành y tế Israel, Cũng như các khu vực chính quyền địa phương ở Israel.
- Điểm tương đồng về mã:
- Trình tải xuống SC5k v2 và v3 phát triển tự nhiên từ phiên bản đầu tiên, phiên bản trước đây được sử dụng trong OilRig Chiến dịch ngoài không gian. ODAgent, OilCheck và OilBooster có chung logic và tất cả đều sử dụng nhiều nhà cung cấp dịch vụ đám mây khác nhau cho hoạt động liên lạc C&C của họ. SC5k, Marlin, Trao đổi điệnvà MrPerfectionManager.
- Mặc dù không phải là duy nhất ở OilRig, nhưng những trình tải xuống này có mức độ phức tạp thấp và thường gây ồn ào không cần thiết trên hệ thống, đây là một thực tế mà chúng tôi đã quan sát thấy trước đây trong Chiến dịch ra biển.
Giới thiệu chung
Vào tháng 2022 năm XNUMX, chúng tôi đã phát hiện một trình tải xuống OilRig mới mà chúng tôi đặt tên là ODAgent dựa trên tên tệp của nó: ODAgent.exe. ODAgent là trình tải xuống C#/.NET, tương tự như OilRig's cửa hậu Marlin, sử dụng API Microsoft OneDrive để liên lạc C&C. Không giống như Marlin, nơi hỗ trợ danh sách toàn diện các lệnh cửa sau, khả năng hạn chế của ODAgent bị giới hạn ở việc tải xuống và thực thi các tải trọng cũng như lọc các tệp theo giai đoạn.
ODAgent được phát hiện trong mạng lưới của một công ty sản xuất ở Israel – điều thú vị là tổ chức này trước đây đã bị ảnh hưởng bởi OilRig’s Trình tải xuống SC5kvà sau đó là một trình tải xuống mới khác, OilCheck, trong khoảng thời gian từ tháng 2022 đến tháng 5 năm XNUMX. SCXNUMXk và OilCheck có các khả năng tương tự như ODAgent, nhưng sử dụng các dịch vụ email dựa trên đám mây để liên lạc C&C của họ.
Trong suốt năm 2022, chúng tôi đã quan sát thấy mô hình tương tự được lặp lại nhiều lần, với các trình tải xuống mới được triển khai trong mạng của các mục tiêu OilRig trước đó: ví dụ: từ tháng 2022 đến tháng 5 năm 1, chúng tôi đã phát hiện các trình tải xuống OilBooster, SC5k v2 và SCXNUMXk vXNUMX và các trình tải xuống OilBooster, SCXNUMXk vXNUMX và SCXNUMXk vXNUMX. Cửa hậu cá mập, tất cả đều nằm trong mạng lưới của một tổ chức chính quyền địa phương ở Israel. Sau đó, chúng tôi đã phát hiện thêm một phiên bản SC5k khác (v3), trong mạng lưới của một tổ chức chăm sóc sức khỏe của Israel, cũng là nạn nhân trước đây của OilRig.
SC5k là một ứng dụng C#/.NET có mục đích tải xuống và thực thi các công cụ OilRig bổ sung bằng API Dịch vụ Web Office Exchange (EWS). Các phiên bản mới đã giới thiệu các thay đổi nhằm khiến việc truy xuất và phân tích tải trọng độc hại trở nên khó khăn hơn đối với các nhà phân tích (SC5k v2) và chức năng lọc mới (SC5k v3).
Tất cả các trình tải xuống, được tóm tắt trong Hình 1, đều có chung một logic nhưng có cách triển khai khác nhau và cho thấy độ phức tạp ngày càng tăng theo thời gian, xen kẽ các tệp nhị phân C#/.NET với các ứng dụng C/C++, thay đổi các nhà cung cấp dịch vụ đám mây bị lạm dụng cho giao tiếp C&C và các chi tiết cụ thể khác .
OilRig chỉ sử dụng những trình tải xuống này để chống lại một số mục tiêu hạn chế, tất cả đều nằm ở Israel và theo phương pháp đo từ xa của ESET, tất cả chúng đều là mục tiêu liên tục từ nhiều tháng trước đó bởi các công cụ OilRig khác. Vì các tổ chức thường truy cập tài nguyên Office 365 nên các trình tải xuống hỗ trợ dịch vụ đám mây của OilRig có thể dễ dàng hòa trộn hơn vào luồng lưu lượng mạng thông thường – rõ ràng đó cũng là lý do khiến những kẻ tấn công chọn triển khai những trình tải xuống này cho một nhóm nhỏ đặc biệt thú vị. , liên tục tấn công các mục tiêu.
Vào thời điểm viết bài này, các tổ chức sau (độc quyền của Israel, như đã lưu ý ở trên) đã bị ảnh hưởng:
- một công ty sản xuất (SC5k v1, ODAgent và OilCheck),
- một tổ chức chính quyền địa phương (SC5k v1, OilBooster và SC5k v2),
- một tổ chức chăm sóc sức khỏe (SC5k v3) và
- các tổ chức không xác định khác ở Israel (SC5k v1).
Thật không may, chúng tôi không có thông tin về vectơ tấn công ban đầu được sử dụng để xâm phạm các mục tiêu được thảo luận trong bài đăng trên blog này – chúng tôi không thể xác nhận liệu những kẻ tấn công có thể liên tục xâm phạm thành công cùng một tổ chức hay không, hay bằng cách nào đó chúng đã giữ được chúng. chỗ đứng trong mạng giữa việc triển khai các công cụ khác nhau.
Phân tích kỹ thuật
Trong phần này, chúng tôi cung cấp bản phân tích kỹ thuật về những trình tải xuống của OilRig được sử dụng trong suốt năm 2022, cùng với thông tin chi tiết về cách họ lạm dụng các dịch vụ lưu trữ đám mây và nhà cung cấp email dựa trên đám mây khác nhau để liên lạc C&C của họ. Tất cả những trình tải xuống này đều tuân theo một logic tương tự:
- Họ sử dụng tài khoản dùng chung (email hoặc lưu trữ đám mây) để trao đổi tin nhắn với người vận hành OilRig; cùng một tài khoản có thể được sử dụng để chống lại nhiều nạn nhân.
- Họ truy cập vào tài khoản này để tải xuống các lệnh và tải trọng bổ sung do người vận hành sắp xếp cũng như tải lên các tệp đầu ra lệnh và các tệp theo giai đoạn.
Trong phân tích của chúng tôi, chúng tôi tập trung vào các đặc điểm sau của người tải xuống:
- Thông số cụ thể của giao thức truyền thông mạng (ví dụ: API Microsoft Graph so với API Microsoft Office EWS).
- Cơ chế được sử dụng để phân biệt giữa các tin nhắn do kẻ tấn công dàn dựng và tin nhắn do người tải xuống tải lên trong tài khoản dùng chung, bao gồm cơ chế phân biệt giữa các tin nhắn được tải lên từ nhiều nạn nhân khác nhau.
- Thông tin cụ thể về cách trình tải xuống xử lý lệnh và tải trọng được tải xuống từ tài khoản dùng chung.
Bảng 1 tóm tắt và so sánh cách từng trình tải xuống triển khai các đặc điểm này; sau đó chúng tôi phân tích chi tiết các trình tải xuống đầu tiên (SC5k) và phức tạp nhất (OilBooster) tương ứng như ví dụ về các công cụ lạm dụng dịch vụ email dựa trên đám mây và dịch vụ lưu trữ đám mây.
Bảng 1. Tóm tắt các đặc điểm chính của những trình tải xuống của OilRig lạm dụng các nhà cung cấp dịch vụ đám mây hợp pháp
Cơ chế |
SC5k v1 |
SC5k v2 |
SC5k v3 |
Kiểm tra dầu |
dầu tăng cường |
tác nhân ODA |
Giao thức C&C |
Tài khoản email Microsoft Exchange được chia sẻ, liên lạc C&C được nhúng trong thư nháp. |
Tài khoản OneDrive dùng chung; các tệp có phần mở rộng khác nhau để phân biệt các loại hành động. |
||||
Truyền thông mạng |
API Microsoft Office EWS |
API Microsoft Graph (Outlook) |
API đồ thị của Microsoft (OneDrive). |
|||
Cơ chế nhận dạng nạn nhân |
Sản phẩm sg tài sản mở rộng của bản nháp email được đặt thành . |
Thuộc tính email mở rộng không xác định được đặt thành . |
Từ trường có phần tên người dùng của địa chỉ email được đặt thành . |
Thuộc tính mở rộng zigorat của bản nháp email được đặt thành . |
Tất cả thông tin liên lạc cho và từ nạn nhân cụ thể được tải lên thư mục con dành riêng cho nạn nhân có tên . |
|
Tin nhắn duy trì |
Sản phẩm kiểu thuộc tính mở rộng của bản nháp email được đặt thành 3; thời gian GMT hiện tại có trong nội dung email. |
Thuộc tính mở rộng không xác định của bản nháp email được đặt thành 0; nội dung email trống. |
Sản phẩm Từ trường của bản nháp email được đặt thành @yahoo.com; thời gian GMT hiện tại có trong nội dung email. |
Thuộc tính mở rộng loại của bản nháp email được đặt thành 3; thời gian GMT hiện tại có trong nội dung email. |
Một tệp có tên /setting.ini. |
Một tệp có tên /info.ini. |
Tệp để tải xuống |
Sản phẩm kiểu thuộc tính mở rộng của bản nháp email được đặt thành 1; tệp đính kèm có bất kỳ phần mở rộng nào khác ngoài .json. |
Thuộc tính mở rộng không xác định của bản nháp email được đặt thành 1; tệp đính kèm có bất kỳ phần mở rộng nào khác ngoài . Bin. |
Sản phẩm Từ trường của bản nháp email được đặt thành @outlook.com, với danh mục tin nhắn được đặt thành hồ sơ. |
Thuộc tính mở rộng loại của bản nháp email được đặt thành 1; tập tin đính kèm có một . Biz gia hạn. |
Một tệp có . Docx phần mở rộng trong /mục thư mục con. |
Tệp không phải JSON trong /o thư mục con. |
Tập tin đã lọc |
Sản phẩm kiểu thuộc tính mở rộng của bản nháp email được đặt thành 2; tập tin đính kèm có .tmp1 gia hạn. |
Thuộc tính mở rộng không xác định của bản nháp email được đặt thành 2; tập tin đính kèm có một .tmp gia hạn. |
Sản phẩm Từ trường của bản nháp email được đặt thành @aol.com, Với hồ sơ thể loại. |
Thuộc tính mở rộng loại của bản nháp email được đặt thành 2; tập tin đính kèm có một . Biz gia hạn. |
Một tệp có .xlsx phần mở rộng trong /mục thư mục con. |
Tệp không phải JSON trong /i thư mục con. |
Lệnh thực hiện |
Sản phẩm kiểu thuộc tính mở rộng của bản nháp email được đặt thành 1; tập tin đính kèm có một .json gia hạn. |
Thuộc tính mở rộng không xác định của bản nháp email được đặt thành 1; tập tin đính kèm có một . Bin gia hạn. |
Sản phẩm Từ trường của bản nháp email được đặt thành @outlook.com, không có các hồ sơ thể loại. |
Thuộc tính mở rộng loại của bản nháp email được đặt thành 1; tệp đính kèm có bất kỳ phần mở rộng nào khác ngoài . Biz. |
Một tệp có phần mở rộng .doc trong /mục thư mục con. |
Một tệp JSON trong /o thư mục con. |
đầu ra lệnh |
Sản phẩm kiểu thuộc tính mở rộng của bản nháp email được đặt thành 2; tập tin đính kèm có một .json gia hạn. |
Thuộc tính mở rộng không xác định của bản nháp email được đặt thành 2; tập tin đính kèm có một . Bin gia hạn. |
Sản phẩm Từ trường của bản nháp email được đặt thành @aol.com, Với văn bản thể loại. |
Thuộc tính mở rộng loại của bản nháp email được đặt thành 2. |
Một tệp có . Xls phần mở rộng trong /mục thư mục con. |
Một tệp JSON trong /i thư mục con. |
Trình tải xuống SC5k
Trình tải xuống SampleCheck5000 (hoặc SC5k) là một ứng dụng C#/.NET và là ứng dụng đầu tiên trong loạt trình tải xuống nhẹ của OilRig sử dụng các dịch vụ đám mây hợp pháp để liên lạc C&C của họ. Chúng tôi đã ghi lại ngắn gọn biến thể đầu tiên trong bài đăng blog gần đâyvà từ đó đã phát hiện ra hai biến thể mới hơn.
Tất cả các biến thể SC5k đều sử dụng API Microsoft Office EWS để tương tác với tài khoản thư Exchange được chia sẻ, như một cách để tải xuống các trọng tải và lệnh bổ sung cũng như tải lên dữ liệu. Bản nháp email và tệp đính kèm của chúng là phương tiện chính cho lưu lượng truy cập C&C trong tất cả các phiên bản của trình tải xuống này, nhưng các phiên bản mới hơn sẽ tăng độ phức tạp của giao thức C&C này (SC5k v3) và thêm khả năng trốn tránh phát hiện (SC5k v2). Phần này tập trung vào việc làm nổi bật những khác biệt này.
Tài khoản Exchange được sử dụng để liên lạc C&C
Trong thời gian chạy, SC5k kết nối với máy chủ Exchange từ xa thông qua API EWS để nhận thêm tải trọng và lệnh thực thi từ tài khoản email được chia sẻ với kẻ tấn công (và thường là các nạn nhân khác). Theo mặc định, tài khoản Microsoft Office 365 Outlook được truy cập thông qua https://outlook.office365.com/EWS/Exchange.asmx URL sử dụng thông tin xác thực được mã hóa cứng, nhưng một số phiên bản SC5k cũng có khả năng kết nối với các máy chủ Exchange từ xa khác khi có tệp cấu hình có tên được mã hóa cứng (cài đặt.key, set.idl) và thông tin xác thực tương ứng bên trong.
Chúng tôi đã thấy các địa chỉ email sau được các phiên bản SC5k sử dụng để liên lạc C&C, địa chỉ đầu tiên đặt tên cho người tải xuống:
- samplecheck5000@outlook.com
- FrancesLPierce@outlook.com
- SandraRCharles@outlook.com
Trong SC5k v2, URL Microsoft Exchange, địa chỉ email và mật khẩu mặc định không được bao gồm trong mô-đun chính – thay vào đó, mã của trình tải xuống đã được chia thành nhiều mô-đun. Chúng tôi chỉ phát hiện các biến thể của ứng dụng chính đăng nhập vào máy chủ Exchange từ xa, lặp lại qua các email trong Nháp thư mục và trích xuất các tải trọng bổ sung từ tệp đính kèm của chúng. Tuy nhiên, ứng dụng này phụ thuộc vào hai lớp bên ngoài không có trong các mẫu được phát hiện và có thể được triển khai trong (các) mô-đun bị thiếu:
- Lớp trong đó phải cung cấp giao diện để lấy địa chỉ email, tên người dùng và mật khẩu cần thiết để đăng nhập vào tài khoản Exchange từ xa và các giá trị cấu hình khác từ mô-đun khác.
- Lớp cấu trúc nên triển khai các chức năng được sử dụng để mã hóa, nén, thực thi các tải trọng đã tải xuống và các chức năng trợ giúp khác.
Những thay đổi này có thể được đưa ra để khiến việc truy xuất và phân tích tải trọng độc hại trở nên khó khăn hơn đối với các nhà phân tích, vì hai lớp bị thiếu rất quan trọng để xác định tài khoản Exchange được sử dụng để phân phối phần mềm độc hại.
C&C và giao thức lọc
Trong tất cả các phiên bản, trình tải xuống SC5k liên tục đăng nhập vào máy chủ Exchange từ xa bằng cách sử dụng Dịch vụ trao đổi Lớp .NET trong Microsoft.Exchange.WebServices.Data không gian tên để tương tác với API EWS. Sau khi được kết nối, SC5k sẽ đọc các email có tệp đính kèm trong thư mục Thư nháp để trích xuất các lệnh của kẻ tấn công và các tải trọng bổ sung. Ngược lại, trong mỗi kết nối, SC5k sẽ lọc các tệp từ thư mục tổ chức cục bộ bằng cách tạo các bản nháp email mới trong cùng một tài khoản email. Đường dẫn đến thư mục dàn dựng khác nhau giữa các mẫu.
Điều đáng quan tâm là cách cả người vận hành và các phiên bản khác nhau của trình tải xuống này có thể phân biệt giữa các loại bản nháp khác nhau trong tài khoản email dùng chung. Thứ nhất, mỗi bản nháp email đều được tích hợp , cho phép sử dụng cùng một tài khoản Exchange cho nhiều nạn nhân của OilRig:
- Đối với v1 và v2, trình tải xuống sẽ truyền như một thuộc tính tùy chỉnh của bản nháp email thông qua Đặt thuộc tính mở rộng phương pháp.
- Đối với v3, trình tải xuống kết hợp vào Từ trường của bản nháp email.
Sản phẩm thường được tạo bằng cách sử dụng thông tin của hệ thống bị xâm nhập, chẳng hạn như ID ổ đĩa hệ thống hoặc tên máy tính, như minh họa trong Hình 2.
Hơn nữa, các thuộc tính email khác nhau có thể được sử dụng để phân biệt giữa các tin nhắn được tạo bởi người vận hành (lệnh, tải trọng bổ sung) và các tin nhắn được tạo bởi các phiên bản phần mềm độc hại (đầu ra lệnh, tệp bị lọc). SC5k v1 và v2 sử dụng phần mở rộng tệp (của tệp đính kèm dự thảo) để tạo sự khác biệt đó, trong khi SC5k v3 sử dụng phần mở rộng tệp Từ và MailItem.Categories các trường của bản nháp email để phân biệt giữa các hành động khác nhau. Tại mỗi thời điểm, các bản nháp email trong tài khoản email dùng chung có thể phục vụ nhiều mục đích khác nhau, như được tóm tắt trong Bảng 2 và giải thích bên dưới. Lưu ý rằng các địa chỉ email được sử dụng trong Từ lĩnh vực này không có thật; vì SC5k không bao giờ gửi bất kỳ email thực tế nào nên các thuộc tính này chỉ được sử dụng để phân biệt giữa các hành động độc hại khác nhau.
Bảng 2. Các loại email được SC5k v3 sử dụng cho liên lạc C&C
Từ |
MailItem.Categories |
Được tạo bởi |
Chi tiết |
@yahoo.com |
N/A |
Phiên bản SC5k v3 |
Được tạo để đăng ký nạn nhân với máy chủ C&C và được gia hạn định kỳ để cho biết rằng phần mềm độc hại vẫn đang hoạt động. |
@outlook.com |
hồ sơ |
máy chủ C&C |
Tệp đính kèm được giải mã, giải nén và lưu vào máy tính của nạn nhân. |
@outlook.com |
Khác với hồ sơ |
máy chủ C&C |
Lệnh đính kèm được giải mã, giải nén, sau đó được chuyển làm đối số cho một tệp đã có trên máy bị xâm nhập, có lẽ là trình thông dịch lệnh. |
@aol.com |
hồ sơ |
Phiên bản SC5k v3 |
Được tạo để lọc một tập tin từ một thư mục phân tầng. |
@aol.com |
văn bản |
Phiên bản SC5k v3 |
Được tạo để gửi đầu ra lệnh đến máy chủ C&C. |
Cụ thể hơn, SC5k v3 xử lý (và sau đó xóa) những email đó khỏi tài khoản Exchange được chia sẻ có Từ trường được đặt thành @outlook.comvà phân biệt giữa các lệnh và tải trọng bổ sung theo danh mục tin nhắn (MailItem.Categories):
- Đối với tải trọng, tệp đính kèm được giải mã XOR bằng khóa mã hóa cứng &5z, sau đó giải nén gzip và lưu vào thư mục làm việc.
- Đối với các lệnh shell, tệp đính kèm nháp được giải mã base64, giải mã XOR và sau đó được thực thi cục bộ bằng cách sử dụng cmd.exe hoặc, trong trường hợp SC5k v3, sử dụng trình thông dịch lệnh tùy chỉnh nằm dưới tên *Ext.dll. Tập tin này sau đó được tải thông qua Hội.LoadFromvà phương thức mở rộng của nó được gọi bằng lệnh được truyền dưới dạng đối số.
Để liên lạc với những kẻ tấn công, SC5k v3 tạo các tin nhắn nháp với một địa chỉ khác. Từ cánh đồng: @aol.com. Kèm theo những thông báo này là kết quả đầu ra của các lệnh đã nhận trước đó hoặc nội dung của thư mục dàn dựng cục bộ. Các tệp luôn được nén gzip và mã hóa XOR trước khi tải lên hộp thư chung, trong khi các lệnh shell và đầu ra lệnh được mã hóa XOR và mã hóa base64.
Cuối cùng, SC5k v3 liên tục tạo bản nháp mới trên tài khoản Exchange được chia sẻ với Từ trường được đặt thành @yahoo.com, để cho những kẻ tấn công biết rằng phiên bản trình tải xuống này vẫn đang hoạt động. Thông báo duy trì này có cấu trúc được hiển thị trong Hình 3, không có tệp đính kèm và được gia hạn với mỗi kết nối đến máy chủ Exchange từ xa.
Các công cụ OilRig khác sử dụng giao thức C&C dựa trên email
Ngoài SC5k, các công cụ OilRig đáng chú ý khác sau đó đã bị phát hiện (vào năm 2022 và 2023) lạm dụng API của các dịch vụ email hợp pháp dựa trên đám mây để lọc và cả hai hướng giao tiếp C&C của chúng.
OilCheck, một trình tải xuống C#/.NET được phát hiện vào tháng 2022 năm 5, cũng sử dụng các thư nháp được tạo trong tài khoản email dùng chung cho cả hai hướng liên lạc C&C. Không giống như SCXNUMXk, OilCheck sử dụng API Microsoft Graph dựa trên REST để truy cập tài khoản email Microsoft Office 365 Outlook được chia sẻ, không phải tài khoản API Microsoft Office EWS dựa trên SOAP. Trong khi SC5k sử dụng tính năng tích hợp Dịch vụ trao đổi .NET để tạo các yêu cầu API một cách minh bạch, OilCheck xây dựng các yêu cầu API theo cách thủ công. Các đặc điểm chính của OilCheck được tóm tắt trong Bảng 1 ở trên.
Trước đó vào năm 2023, hai backdoor OilRig khác đã được ghi nhận công khai: MrPerfectionManager (Trend Micro, tháng 2023 năm XNUMX) và PowerExchange (Symantec, tháng 2023 năm 5), cả hai đều sử dụng giao thức C&C dựa trên email để lọc dữ liệu. Một điểm khác biệt đáng chú ý giữa các công cụ này và các trình tải xuống của OilRig được nghiên cứu trong bài đăng trên blog này là các công cụ trước đây sử dụng máy chủ Exchange của tổ chức nạn nhân để truyền các email từ và đến tài khoản email của kẻ tấn công. Ngược lại: với SCXNUMXk và OilCheck, cả phần mềm độc hại và kẻ điều hành đều truy cập vào cùng một tài khoản Exchange và liên lạc bằng cách tạo bản nháp email, không bao giờ gửi tin nhắn thực tế.
Trong mọi trường hợp, những phát hiện mới xác nhận xu hướng OilRig chuyển từ các giao thức dựa trên HTTP/DNS được sử dụng trước đây sang sử dụng các nhà cung cấp dịch vụ đám mây hợp pháp như một cách để che giấu thông tin liên lạc độc hại và che giấu cơ sở hạ tầng mạng của nhóm, trong khi vẫn thử nghiệm với hương vị khác nhau của các giao thức thay thế như vậy.
Trình tải xuống OilBooster
OilBooster là một chương trình thực thi di động (PE) 64 bit được viết bằng Microsoft Visual C/C++ với các thư viện OpenSSL và Boost được liên kết tĩnh (do đó có tên). Giống như OilCheck, nó sử dụng API đồ thị của Microsoft để kết nối với tài khoản Microsoft Office 365. Không giống như OilCheck, nó sử dụng API này để tương tác với tài khoản OneDrive (không phải Outlook) do kẻ tấn công kiểm soát để liên lạc và lấy cắp C&C. OilBooster có thể tải xuống các tệp từ máy chủ từ xa, thực thi các tệp và lệnh shell cũng như lọc kết quả.
Giới thiệu chung
Sau khi thực thi, OilBooster ẩn cửa sổ bảng điều khiển của nó (thông qua API ShowWindow) và xác minh rằng nó đã được thực thi bằng đối số dòng lệnh; nếu không nó chấm dứt ngay lập tức.
OilBooster sau đó xây dựng một bằng cách kết hợp tên máy chủ và tên người dùng của máy tính bị xâm nhập: -. Mã định danh này sau đó được sử dụng trong giao tiếp C&C: OilBooster tạo một thư mục con cụ thể trên tài khoản OneDrive dùng chung cho từng nạn nhân, sau đó được sử dụng để lưu trữ các lệnh cửa sau và tải trọng bổ sung (được người vận hành tải lên), kết quả lệnh và dữ liệu được lọc ra (được tải lên bởi phần mềm độc hại). Bằng cách này, nhiều nạn nhân có thể chia sẻ cùng một tài khoản OneDrive.
Hình 4 hiển thị cấu trúc của tài khoản OneDrive dùng chung và thư mục làm việc cục bộ, đồng thời tóm tắt giao thức C&C.
Như được hiển thị trong Hình 4, toán tử OilRig tải các lệnh cửa sau và tải trọng bổ sung lên thư mục dành riêng cho nạn nhân trên OneDrive, dưới dạng các tệp có phần mở rộng .doc và . Docx phần mở rộng, tương ứng. Ở đầu bên kia của giao thức C&C, OilBooster tải lên kết quả lệnh và dữ liệu được lọc dưới dạng tệp có phần mở rộng . Xls và .xlsx phần mở rộng, tương ứng. Lưu ý rằng đây không phải là các tệp Microsoft Office chính hãng mà là các tệp JSON có giá trị được mã hóa XOR và mã hóa base64.
Hình 5 cho thấy các phiên bản sinh ra OilBooster của hai luồng trong một vòng lặp không xác định, ngủ trong 153,123 mili giây sau mỗi lần lặp:
Cả hai luồng đều tương tác với tài khoản OneDrive được chia sẻ:
- Chuỗi trình tải xuống xử lý giao tiếp C&C và thực thi các tải trọng đã tải xuống.
- Một luồng lọc sẽ lọc dữ liệu từ thư mục dàn dựng cục bộ.
Chuỗi trình tải xuống kết nối với tài khoản OneDrive do kẻ tấn công kiểm soát và lặp qua tất cả các tệp có .doc và . Docx sau đó được tải xuống, giải mã và phân tích cú pháp để trích xuất và thực thi các tải trọng bổ sung trên máy chủ bị xâm nhập. Một thư mục con cục bộ có tên mặt hàng trong thư mục làm việc hiện tại (nơi OilBooster được triển khai) được sử dụng để lưu trữ các tệp đã tải xuống. Như được hiển thị trong Hình 6, mỗi lần thử kết nối được xử lý trong một phiên bản luồng riêng biệt, được khởi chạy cứ sau 53,123 mili giây.
Luồng lọc sẽ lặp qua một thư mục con cục bộ khác, có tên tập tin tạm thờivà lọc nội dung của nó vào tài khoản OneDrive được chia sẻ, tài khoản này được tải lên đó dưới dạng các tệp riêng lẻ với phần mở rộng .xlsx sự mở rộng. Thư mục dàn được xóa theo cách này cứ sau 43,123 mili giây trong một phiên bản luồng riêng biệt, như được thấy trong Hình 6.
Truyền thông mạng
Để liên lạc và lọc C&C, OilBooster sử dụng API Microsoft Graph để truy cập vào tài khoản OneDrive được chia sẻ, sử dụng nhiều yêu cầu HTTP GET, POST, PUT và DELETE cho đồ thị.microsoft.com máy chủ qua cổng 443 tiêu chuẩn. Để ngắn gọn, chúng tôi cũng sẽ gọi những yêu cầu này là yêu cầu API OneDrive. Giao tiếp được mã hóa được hỗ trợ bởi thư viện OpenSSL được liên kết tĩnh, xử lý giao tiếp SSL.
Để xác thực bằng tài khoản OneDrive, trước tiên OilBooster lấy Mã thông báo truy cập OAuth2 từ nền tảng nhận dạng Microsoft (máy chủ ủy quyền) bằng cách gửi yêu cầu POST có nội dung sau qua cổng 443 tới login.microsoftonline.com/common/oauth2/v2.0/token, sử dụng thông tin xác thực được mã hóa cứng:
client_id=860b23a7-d484-481d-9fea-d3e6e129e249
&redirect_uri=https://login.live.com/oauth20_desktop.srf
&client_secret=<redacted>
&refresh_token=<redacted>
&grant_type=refresh_token
OilBooster nhận được mã thông báo truy cập mới theo cách này, mã này sẽ được sử dụng trong tiêu đề Cấp phép của các yêu cầu API OneDrive tiếp theo, cùng với mã thông báo làm mới mới. OilBooster cũng có một kênh dự phòng để yêu cầu mã thông báo làm mới mới từ máy chủ C&C của nó sau 10 kết nối liên tiếp không thành công đến máy chủ OneDrive. Như được hiển thị trong Hình 7, mã thông báo mới có thể được lấy bằng cách gửi yêu cầu HTTP GET đơn giản trên cổng 80 tới Host1[.]com/rt.ovf (một trang web hợp pháp, có khả năng bị xâm phạm), theo sau là mã thông báo làm mới mới ở dạng văn bản rõ ràng trong phản hồi HTTP.
Các kết nối mạng khác nhau do OilBooster thực hiện được tóm tắt trong Hình 8.
Vòng lặp tải xuống
Trong vòng lặp của trình tải xuống, OilBooster liên tục kết nối với tài khoản OneDrive được chia sẻ để có được một danh sách các tập tin với . Docx và .doc phần mở rộng trong thư mục con dành riêng cho nạn nhân có tên /items/ bằng cách gửi yêu cầu HTTP GET qua cổng 443 tới URL này:
graph.microsoft.com/v1.0/me/drive/root://items:/children?$filter=endsWith(name,'.doc')%20or%20endsWith(name,'.docx') &$select=id,tên,tệp
Nếu kết nối không thành công ( HTTP_STATUS_DENIED trạng thái phản hồi) sau 10 lần thử, OilBooster kết nối với máy chủ C&C dự phòng của nó, Host1[.]com/rt.ovf, để nhận mã thông báo làm mới mới, như đã thảo luận trước đó.
Ngoài ra, nếu thư mục được chỉ định chưa tồn tại (HTTP_STATUS_NOT_FOUND), OilBooster trước tiên sẽ đăng ký nạn nhân trên tài khoản OneDrive được chia sẻ bằng cách gửi yêu cầu HTTP POST qua cổng 443 tới URL này: Graph.microsoft.com/v1.0/me/drive/items/root:/:/children với chuỗi JSON {“tên”: “mục”,”thư mục”:{}} làm phần thân yêu cầu, như được hiển thị trong Hình 9. Yêu cầu này tạo ra toàn bộ cấu trúc thư mục /mục đồng thời, sau này sẽ được kẻ tấn công sử dụng để lưu trữ các lệnh và tải trọng bổ sung được ngụy trang dưới dạng .doc và . Docx các tập tin.
Trên các kết nối tiếp theo (với HTTP_STATUS_OK), OilBooster xử lý các tệp này để trích xuất và thực thi tải trọng. Trước tiên, OilBooster tải xuống từng tệp từ tài khoản OneDrive và xóa tệp đó khỏi OneDrive sau khi xử lý tệp.
Cuối cùng, sau khi trải qua tất cả .doc và . Docx các tệp được tải xuống từ thư mục con OneDrive, OilBooster ghi lại dấu thời gian kết nối cuối cùng (giờ GMT hiện tại) bằng cách tạo một tệp mới có tên setting.ini trong thư mục con OneDrive của nạn nhân, thông qua yêu cầu HTTP PUT trên cổng 443 được gửi tới URL này: graph.microsoft.com/v1.0/me/drive/root://setting.ini:/content.
Đang xử lý tệp .doc
Các tập tin với .doc tiện ích mở rộng được tải xuống từ tài khoản OneDrive dùng chung trên thực tế là các tệp JSON có lệnh được mã hóa sẽ được thực thi trên máy chủ bị xâm nhập. Một lần .doc được tải xuống, OilBooster sẽ phân tích các giá trị có tên s (một phần của khóa giải mã) và c (lệnh được mã hóa) từ nội dung tệp. Đầu tiên nó giải mã base64, sau đó XOR giải mã c giá trị, sử dụng khóa được tạo bằng cách nối thêm hai ký tự cuối của s giá trị cho hai ký tự cuối cùng của .
Sau khi giải mã, OilBooster thực thi dòng lệnh trong một luồng mới bằng API CreateProcessW và đọc kết quả lệnh thông qua một đường dẫn không tên được kết nối với quy trình. OilBooster sau đó tải kết quả lệnh lên tài khoản OneDrive được chia sẻ dưới dạng tệp mới có tên .xls bằng cách gửi yêu cầu HTTP PUT qua cổng 443 tới graph.microsoft.com/v1.0/me/drive/root://items/.xls:/content.
Đang xử lý tệp .docx
Các tập tin với . Docx tiện ích mở rộng được tải xuống từ tài khoản OneDrive dùng chung trên thực tế là các tệp được nén và mã hóa có tên ..docx sẽ được thả và giải nén trên hệ thống bị xâm nhập. Trước tiên, OilBooster tải tệp được mã hóa xuống thư mục cục bộ có tên các mục , sử dụng tên tệp đầy đủ ban đầu.
Trong bước tiếp theo, nó đọc và giải mã nội dung tệp bằng mật mã XOR với .<phần mở rộng ban đầu> làm khóa giải mã và thả nó vào cùng thư mục vào một tệp có tên ..doc, trong khi cái đầu tiên bị xóa. Cuối cùng, OilBooster đọc và gzip giải nén tệp được giải mã, thả kết quả vào cùng thư mục với tệp có tên ., và xóa cái còn lại.
Lưu ý việc tạo một số tệp không cần thiết trong quy trình - đây là trường hợp điển hình của OilRig. Trước đây chúng tôi đã mô tả các hoạt động ồn ào của nhóm trên các máy chủ bị xâm nhập trong Chiến dịch ra biển.
Vòng lọc
Trong luồng lọc, OilBooster lặp lại nội dung của thư mục cục bộ có tên Tệp tạm thờivà tải nội dung tệp lên thư mục của nạn nhân trên tài khoản OneDrive được chia sẻ. Mỗi tệp được xử lý theo cách này:
- OilBooster gzip nén tập tin gốc . và ghi kết quả vào một tập tin có tên ..xlsx Trong cùng một thư mục.
- Sau đó, nó mã hóa tệp nén bằng mật mã XOR và . như chìa khóa. Nếu không có phần mở rộng tập tin, 4cx được sử dụng làm khóa mặc định.
Cuối cùng, tệp được mã hóa sẽ được tải lên tài khoản OneDrive và tệp cục bộ sẽ bị xóa.
Trình tải xuống ODAgent: Tiền thân của OilBooster
ODAgent là một ứng dụng C#/.NET sử dụng Microsoft Graph API để truy cập vào tài khoản OneDrive do kẻ tấn công kiểm soát để liên lạc và lọc C&C – nói tóm lại, ODAgent gần như là tiền thân C#/.NET của OilBooster. Tương tự như OilBooster, ODAgent liên tục kết nối với tài khoản OneDrive được chia sẻ và liệt kê nội dung của thư mục dành riêng cho nạn nhân để nhận thêm tải trọng và lệnh cửa sau.
Như được hiển thị trong Hình 10, ODAgent sau đó phân tích siêu dữ liệu cho từng tệp từ xa. Sau đó, nó sử dụng giá trị của loại kịch câm khóa được liên kết với tệp để phân biệt giữa các lệnh cửa sau (được định dạng dưới dạng tệp JSON) và tải trọng được mã hóa – điều này không giống như OilBooster, vốn sử dụng phần mở rộng tệp để phân biệt. Sau khi xử lý tệp cục bộ, ODAgent sẽ xóa tệp gốc khỏi thư mục OneDrive từ xa thông qua API OneDrive.
Nếu tệp đã tải xuống là tệp JSON, ODAgent sẽ phân tích a1 (ID lệnh), a2 (lệnh cửa sau được mã hóa) và a3 (bí mật) lập luận. Đầu tiên, nó lấy khóa phiên bằng cách XOR bí mật được cung cấp với giá trị được mã hóa cứng 15a49w@]. Sau đó, nó giải mã base64 và XOR giải mã lệnh cửa sau bằng khóa phiên này. Bảng 3 liệt kê tất cả các lệnh cửa sau được ODAgent hỗ trợ.
Bảng 3. Các lệnh backdoor được ODAgent hỗ trợ
Lệnh cửa sau |
Mô tả |
odt> |
Trả về đường dẫn đến thư mục làm việc hiện tại. |
dly> |
Định cấu hình số giây chờ sau mỗi lần kết nối tới . |
|
Thực hiện các chỉ định thông qua API gốc và trả về đầu ra lệnh. |
Các tệp khác (không phải JSON) được tải xuống từ tài khoản OneDrive dùng chung là các tệp và tải trọng bổ sung, cả hai đều được mã hóa. ODAgent XOR giải mã các tệp này bằng khóa mã hóa cứng 15a49w@]và thả chúng vào cục bộ o thư mục dưới cùng một tên tập tin. Nếu tập tin gốc có .c phần mở rộng, nội dung của nó cũng được giải nén bằng gzip (và phần mở rộng sau đó sẽ bị loại bỏ khỏi tên tệp).
Vào cuối mỗi kết nối, ODAgent tải lên nội dung của thư mục cục bộ tôi đến /i thư mục trên tài khoản OneDrive được chia sẻ, giữ nguyên tên tệp gốc với phần bổ sung .c gia hạn.
Kết luận
Trong suốt năm 2022, OilRig đã phát triển một loạt trình tải xuống mới, tất cả đều sử dụng nhiều dịch vụ lưu trữ đám mây hợp pháp và dịch vụ email dựa trên đám mây làm kênh C&C và trích xuất dữ liệu của họ. Những phần mềm tải xuống này được triển khai riêng để chống lại các mục tiêu ở Israel – thường nhằm vào các mục tiêu tương tự trong vòng vài tháng. Vì tất cả các mục tiêu này trước đây đều bị ảnh hưởng bởi các công cụ OilRig khác, chúng tôi kết luận rằng OilRig sử dụng loại trình tải xuống nhẹ nhưng hiệu quả này làm công cụ được lựa chọn để duy trì quyền truy cập vào các mạng quan tâm.
Những trình tải xuống này có điểm tương đồng với các backdoor MrPerfectionManager và PowerExchange, các phần bổ sung gần đây khác cho bộ công cụ của OilRig sử dụng giao thức C&C dựa trên email – ngoại trừ SC5k, OilBooster, ODAgent và OilCheck sử dụng tài khoản dịch vụ đám mây do kẻ tấn công kiểm soát thay vì cơ sở hạ tầng nội bộ của nạn nhân. Tất cả các hoạt động này xác nhận việc chuyển đổi liên tục sang các nhà cung cấp dịch vụ đám mây hợp pháp để liên lạc C&C, như một cách để che giấu liên lạc độc hại và che giấu cơ sở hạ tầng mạng của nhóm.
Ngang bằng với phần còn lại của bộ công cụ OilRig, những trình tải xuống này không đặc biệt phức tạp và một lần nữa lại gây ồn ào không cần thiết trên hệ thống. Tuy nhiên, việc liên tục phát triển và thử nghiệm các biến thể mới, thử nghiệm nhiều dịch vụ đám mây và ngôn ngữ lập trình khác nhau cũng như nỗ lực thỏa hiệp lặp đi lặp lại các mục tiêu giống nhau đã khiến OilRig trở thành một nhóm đáng chú ý.
Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .
IoC
Các tập tin
SHA-1 |
Tên tập tin |
Phát hiện |
Mô tả |
0F164894DC7D8256B66D0EBAA7AFEDCF5462F881 |
CCLibrary.exe |
MSIL/OilRig.A |
Trình tải xuống OilRig – SC5k v1. |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
35E0E78EC35B68D3EE1805EECEEA352C5FE62EB6 |
mscom.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
51B6EC5DE852025F63740826B8EDF1C8D22F9261 |
CCLibrary.exe |
MSIL/OilRig.A |
Trình tải xuống OilRig – SC5k v1. |
6001A008A3D3A0C672E80960387F4B10C0A7BD9B |
acrotray.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
7AD4DCDA1C65ACCC9EF1E168162DE7559D2FDF60 |
AdobeCE.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
BA439D2FC3298675F197C8B17B79F34485271498 |
AGSService.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Trình tải xuống OilRig – SC5k v1. |
C04F874430C261AABD413F27953D30303C382953 |
AdobeCE.exe |
MSIL/OilRig.A |
Trình tải xuống OilRig – SC5k v1. |
C225E0B256EDB9A2EA919BACC62F29319DE6CB11 |
mscom.exe |
MSIL/OilRig.A |
Trình tải xuống OilRig – SC5k v1. |
E78830384FF14A58DF36303602BC9A2C0334A2A4 |
armvc.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
nút.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v1. |
1B2FEDD5F2A37A0152231AE4099A13C8D4B73C9E |
consoleapp.exe |
Win64/OilBooster.A |
Trình tải xuống OilRig – OilBooster. |
3BF19AE7FB24FCE2509623E7E0D03B5A872456D4 |
owa.service.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v2. |
AEF3140CD0EE6F49BFCC41F086B7051908B91BDD |
owa.service.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v2. |
A56622A6EF926568D0BDD56FEDBFF14BD218AD37 |
owa.service.exe |
MSIL/OilRig.D |
Trình tải xuống OilRig – SC5k v2. |
AAE958960657C52B848A7377B170886A34F4AE99 |
LinkSync.exe |
MSIL/OilRig.F |
Trình tải xuống OilRig – SC5k v3. |
8D84D32DF5768B0D4D2AB8B1327C43F17F182001 |
AppLoader.exe |
MSIL/OilRig.M |
Trình tải xuống OilRig – OilCheck. |
DDF0B7B509B240AAB6D4AB096284A21D9A3CB910 |
CheckUpdate.exe |
MSIL/OilRig.M |
Trình tải xuống OilRig – OilCheck. |
7E498B3366F54E936CB0AF767BFC3D1F92D80687 |
ODAgent.exe |
MSIL/OilRig.B |
Trình tải xuống OilRig – ODAgent. |
A97F4B4519947785F66285B546E13E52661A6E6F |
N/A |
MSIL/OilRig.N |
Tiện ích trợ giúp được sử dụng bởi trình tải xuống OilCheck của OilRig – CmEx. |
mạng
IP |
miền |
Nhà cung cấp dịch vụ lưu trữ |
Lần đầu tiên nhìn thấy |
Chi tiết |
188.114.96 [.] 2 |
máy chủ1[.]com |
Cloudflare, Inc. |
2017-11-30 |
Một trang web hợp pháp, có khả năng bị xâm phạm, bị OilRig sử dụng sai mục đích làm máy chủ C&C dự phòng. |
Kỹ thuật MITER ATT & CK
Bảng này được tạo bằng cách sử dụng phiên bản 14 của khuôn khổ MITER ATT & CK.
Chiến thuật |
ID |
Họ tên |
Mô tả |
Phát triển nguồn lực |
Có được cơ sở hạ tầng: Tên miền |
OilRig đã đăng ký một miền để sử dụng trong liên lạc C&C. |
|
Có được cơ sở hạ tầng: Máy chủ |
OilRig đã mua một máy chủ để sử dụng làm kênh dự phòng cho trình tải xuống OilBooster. |
||
Có được cơ sở hạ tầng: Dịch vụ web |
OilRig đã thiết lập tài khoản Microsoft Office 365 OneDrive và Outlook cũng như các tài khoản Exchange khác để sử dụng trong liên lạc C&C. |
||
Phát triển khả năng: Phần mềm độc hại |
OilRig đã phát triển nhiều trình tải xuống tùy chỉnh để sử dụng trong hoạt động của mình: phiên bản SC5k, OilCheck, ODAgent và OilBooster. |
||
Thiết lập tài khoản: Tài khoản đám mây |
Các nhà khai thác OilRig đã tạo tài khoản OneDrive mới để sử dụng trong liên lạc C&C của họ. |
||
Thiết lập tài khoản: Tài khoản email |
Các nhà khai thác OilRig đã đăng ký Outlook mới và có thể cả các địa chỉ email khác để sử dụng trong liên lạc C&C của họ. |
||
Khả năng sân khấu |
Các nhà khai thác OilRig đã dàn dựng các thành phần độc hại và lệnh cửa sau trong Microsoft Office 365 OneDrive và Outlook hợp pháp cũng như các tài khoản Microsoft Exchange khác. |
||
Thực hiện |
Bộ thông dịch lệnh và tập lệnh: Windows Command Shell |
Sử dụng SC5k v1 và v2 cmd.exe để thực thi các lệnh trên máy chủ bị xâm nhập. |
|
API gốc |
OilBooster sử dụng TạoProcessW Các hàm API để thực thi. |
||
Phòng thủ né tránh |
Giải mã / giải mã tệp hoặc thông tin |
Trình tải xuống của OilRig sử dụng tính năng xếp chồng chuỗi để làm xáo trộn các chuỗi nhúng và mật mã XOR để mã hóa các lệnh và tải trọng cửa sau. |
|
Lan can thi hành |
OilBooster của OilRig yêu cầu đối số dòng lệnh tùy ý để thực thi tải trọng độc hại. |
||
Ẩn hiện vật: Cửa sổ ẩn |
Sau khi thực thi, OilBooster sẽ ẩn cửa sổ bảng điều khiển của nó. |
||
Loại bỏ chỉ báo: Xóa tệp |
Trình tải xuống của OilRig sẽ xóa các tệp cục bộ sau khi trích xuất thành công và xóa các tệp hoặc bản nháp email khỏi tài khoản dịch vụ đám mây từ xa sau khi chúng được xử lý trên hệ thống bị xâm nhập. |
||
Thực thi lệnh gián tiếp |
SC5k v3 và OilCheck sử dụng trình thông dịch lệnh tùy chỉnh để thực thi các tệp và lệnh trên hệ thống bị xâm nhập. |
||
Giả mạo: Khớp tên hoặc vị trí hợp pháp |
OilBooster bắt chước các đường dẫn hợp pháp. |
||
Tệp hoặc thông tin bị xáo trộn |
OilRig đã sử dụng nhiều phương pháp khác nhau để làm xáo trộn các chuỗi và tải trọng được nhúng trong trình tải xuống của nó. |
||
khám phá |
Khám phá thông tin hệ thống |
Những người tải xuống của OilRig có được tên máy tính bị xâm nhập. |
|
Chủ sở hữu hệ thống / Khám phá người dùng |
Những người tải xuống của OilRig lấy được tên người dùng của nạn nhân. |
||
Bộ sưu tập |
Lưu trữ dữ liệu đã thu thập: Lưu trữ qua phương pháp tùy chỉnh |
Trình tải xuống của OilRig nén gzip dữ liệu trước khi lọc. |
|
Giai đoạn dữ liệu: Giai đoạn dữ liệu cục bộ |
Trình tải xuống của OilRig tạo các thư mục dàn dựng trung tâm để các công cụ và lệnh OilRig khác sử dụng. |
||
Lệnh và kiểm soát |
Mã hóa dữ liệu: Mã hóa tiêu chuẩn |
Trình tải xuống base64 của OilRig giải mã dữ liệu trước khi gửi đến máy chủ C&C. |
|
Kênh được mã hóa: Mật mã đối xứng |
Trình tải xuống của OilRig sử dụng mật mã XOR để mã hóa dữ liệu trong giao tiếp C&C. |
||
Kênh dự phòng |
OilBooster có thể sử dụng kênh phụ để nhận mã thông báo làm mới mới nhằm truy cập vào tài khoản OneDrive được chia sẻ. |
||
Chuyển công cụ xâm nhập |
Trình tải xuống của OilRig có khả năng tải xuống các tệp bổ sung từ máy chủ C&C để thực thi cục bộ. |
||
Dịch vụ web: Giao tiếp hai chiều |
Những người tải xuống của OilRig sử dụng các nhà cung cấp dịch vụ đám mây hợp pháp để liên lạc C&C. |
||
Lọc |
Lọc tự động |
Trình tải xuống của OilRig tự động lọc các tệp được dàn dựng đến máy chủ C&C. |
|
Lọc qua kênh C2 |
Những người tải xuống của OilRig sử dụng các kênh C&C của họ để lọc. |
||
Lọc qua dịch vụ web: Lọc vào lưu trữ đám mây |
OilBooster và ODAgent lọc dữ liệu sang các tài khoản OneDrive được chia sẻ. |
||
Lọc qua dịch vụ web |
SC5k và OilCheck lọc dữ liệu sang tài khoản Exchange và Outlook được chia sẻ. |
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 10
- 11
- 114
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 22
- 24
- 43
- 49
- 7
- 8
- 80
- 9
- a
- Có khả năng
- Giới thiệu
- ở trên
- lạm dụng
- truy cập
- truy cập
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- có được
- mua lại
- ngang qua
- Hoạt động
- hành động
- hoạt động
- tích cực
- hoạt động
- thực tế
- thêm vào
- thêm
- thêm vào
- bổ sung
- địa chỉ
- địa chỉ
- bị ảnh hưởng
- Sau
- một lần nữa
- chống lại
- sắp xếp
- Căn chỉnh
- Tất cả
- cho phép
- dọc theo
- Đã
- Ngoài ra
- thay thế
- luôn luôn
- an
- phân tích
- Các nhà phân tích
- phân tích
- phân tích
- và
- Một
- bất kì
- api
- API
- Các Ứng Dụng
- các ứng dụng
- Tháng Tư
- APT
- Ả Rập
- Các tiểu vương quốc Ả Rập
- lưu trữ
- LÀ
- đối số
- đối số
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- Nỗ lực
- thuộc tính
- Tháng Tám
- xác nhận
- ủy quyền
- tự động
- xa
- cửa sau
- Backdoors
- sao lưu
- dựa
- BE
- bởi vì
- được
- trước
- bắt đầu
- được
- phía dưới
- giữa
- Trộn
- thân hình
- tăng
- cả hai
- một thời gian ngắn
- xây dựng
- xây dựng
- được xây dựng trong
- kinh doanh
- nhưng
- by
- tính toán
- Chiến dịch
- Chiến dịch
- CAN
- khả năng
- khả năng
- thực hiện
- trường hợp
- trường hợp
- Phân loại
- trung tâm
- Những thay đổi
- Kênh
- kênh
- đặc điểm
- nhân vật
- hóa chất
- sự lựa chọn
- chọn
- vô giá trị
- tốt nghiệp lớp XNUMX
- các lớp học
- gần gũi hơn
- đám mây
- dịch vụ điện toán đám mây
- Đám mây lưu trữ
- mã
- COM
- kết hợp
- Chung
- giao tiếp
- truyền đạt
- Giao tiếp
- Truyền thông
- công ty
- so sánh
- phức tạp
- phức tạp
- các thành phần
- toàn diện
- thỏa hiệp
- Thỏa hiệp
- máy tính
- kết luận
- sự tự tin
- Cấu hình
- Xác nhận
- Kết nối
- kết nối
- liên quan
- Kết nối
- connect
- liên tiếp
- An ủi
- xây dựng
- liên lạc
- nội dung
- nội dung
- tiếp tục
- liên tục
- Ngược lại
- kiểm soát
- ngược lại
- Tương ứng
- tạo
- tạo ra
- tạo ra
- Tạo
- tạo
- Credentials
- quan trọng
- Current
- khách hàng
- dữ liệu
- sự cống hiến
- Mặc định
- Phòng thủ
- phụ thuộc
- triển khai
- triển khai
- triển khai
- mô tả
- chi tiết
- chi tiết
- phát hiện
- Phát hiện
- xác định
- phát triển
- Phát triển
- sự khác biệt
- sự khác biệt
- khác nhau
- thư mục
- phát hiện
- thảo luận
- phân biệt
- phân biệt
- phân phối
- do
- làm
- miền
- dont
- xuống
- tải về
- đang tải xuống
- Tải xuống
- dự thảo
- hủy bỏ
- Giọt
- e
- mỗi
- Sớm hơn
- sớm nhất
- dễ dàng
- Đông
- phía đông
- Hiệu quả
- nhúng
- tiểu vương quốc
- việc làm
- mã hóa
- mã hóa
- mã hóa
- cuối
- năng lượng
- thực thể
- đặc biệt
- trốn tránh
- Mỗi
- phát triển
- ví dụ
- ví dụ
- Trừ
- Sàn giao dịch
- độc quyền
- thi hành
- Thực thi
- Thi công
- thi hành
- thực hiện
- sự lọc ra
- tồn tại
- mở rộng
- Giải thích
- thêm
- gia tăng
- mở rộng
- mở rộng
- ngoài
- trích xuất
- Chất chiết xuất
- tạo điều kiện
- thực tế
- Tháng Hai
- vài
- lĩnh vực
- Lĩnh vực
- Hình
- Tập tin
- Các tập tin
- Cuối cùng
- tài chính
- phát hiện
- Tên
- Tập trung
- tập trung
- theo
- sau
- tiếp theo
- Trong
- Cựu
- từ
- Full
- chức năng
- chức năng
- chức năng
- cho
- tạo ra
- chính hãng
- được
- GMT
- đi
- Chính phủ
- Các cơ quan chính phủ
- chính phủ
- Chính phủ
- đồ thị
- Nhóm
- Các nhóm
- Phát triển
- Xử lý
- khó hơn
- thu hoạch
- Có
- chăm sóc sức khỏe
- ngành y tế
- vì thế
- Thành viên ẩn danh
- Ẩn giấu
- Cao
- làm nổi bật
- chủ nhà
- host
- Độ đáng tin của
- Tuy nhiên
- HTML
- http
- HTTPS
- ID
- Xác định
- định danh
- xác định
- Bản sắc
- if
- hình ảnh
- ngay
- thực hiện
- triển khai
- thực hiện
- in
- bao gồm
- Bao gồm
- Hợp nhất
- kết hợp
- Tăng lên
- chỉ
- Các chỉ số
- hệ thống riêng biệt,
- thông tin
- Cơ sở hạ tầng
- ban đầu
- Yêu cầu
- trong
- ví dụ
- thay vì
- Sự thông minh
- tương tác
- quan tâm
- thú vị
- lợi ích
- Giao thức
- nội bộ
- trong
- giới thiệu
- viện dẫn
- Iran
- Israel
- Người Israel
- vấn đề
- IT
- mặt hàng
- sự lặp lại
- ITS
- json
- tháng sáu
- Giữ
- giữ
- Key
- nổi tiếng
- Ngôn ngữ
- Họ
- một lát sau
- phát động
- ít nhất
- Lebanon
- hợp pháp
- Cấp
- Tỉ lệ đòn bẩy
- thư viện
- Thư viện
- trọng lượng nhẹ
- Lượt thích
- Có khả năng
- Hạn chế
- Dòng
- liên kết
- Danh sách
- Chức năng
- sống
- địa phương
- Chính quyền địa phương
- tại địa phương
- nằm
- đăng nhập
- logic
- Xem
- Thấp
- máy
- thực hiện
- Chủ yếu
- duy trì
- làm cho
- LÀM CHO
- phần mềm độc hại
- quản lý
- thủ công
- sản xuất
- Marlin
- mặt nạ
- Trận đấu
- cơ chế
- cơ chế
- đề cập
- tin nhắn
- tin nhắn
- Siêu dữ liệu
- phương pháp
- phương pháp
- microsoft
- Tên đệm
- Trung Đông
- mili giây
- mất tích
- Mô-đun
- Modules
- tháng
- chi tiết
- hầu hết
- nhiều
- tên
- Được đặt theo tên
- hẹp
- tự nhiên
- net
- mạng
- lưu lượng mạng
- mạng
- không bao giờ
- Mới
- Quyền truy cập mới
- tiếp theo
- Không
- Nổi bật
- ghi
- lưu ý
- Tháng mười một
- Tháng Mười Một 2021
- con số
- được
- thu được
- thu được
- dịp
- Tháng Mười
- of
- Cung cấp
- Office
- thường
- on
- hàng loạt
- ONE
- đang diễn ra
- có thể
- openssl
- Hoạt động
- nhà điều hành
- khai thác
- or
- gọi món
- cơ quan
- tổ chức
- nguyên
- Nền tảng khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- không gian bên ngoài
- Outlook
- đầu ra
- kết quả đầu ra
- kết thúc
- tổng quan
- P&E
- trang
- một phần
- đặc biệt
- thông qua
- Mật khẩu
- con đường
- đường dẫn
- Họa tiết
- kiên trì
- đường ống
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- xin vui lòng
- Điểm
- điểm
- di động
- phần
- có thể
- Bài đăng
- thực hành
- tiền thân
- trình bày
- bảo quản
- trước
- trước đây
- chính
- riêng
- có lẽ
- quá trình
- Xử lý
- Quy trình
- xử lý
- Lập trình
- ngôn ngữ lập trình
- tài sản
- tài sản
- giao thức
- giao thức
- cho
- cung cấp
- nhà cung cấp
- công khai
- công bố
- mục đích
- mục đích
- đặt
- hơn
- lý do
- nhận
- gần đây
- hồ sơ
- xem
- ghi danh
- đăng ký
- đăng ký
- đều đặn
- liên quan
- xa
- loại bỏ
- gia hạn
- lặp đi lặp lại
- NHIỀU LẦN
- báo cáo
- Báo cáo
- Báo cáo
- yêu cầu
- yêu cầu
- cần phải
- đòi hỏi
- nghiên cứu
- nhà nghiên cứu
- Thông tin
- tương ứng
- phản ứng
- chịu trách nhiệm
- REST của
- kết quả
- Kết quả
- Trả về
- thời gian chạy
- s
- tương tự
- SEA
- trung học
- giây
- Bí mật
- Phần
- ngành
- Ngành
- an ninh
- đã xem
- chọn
- gửi
- gửi
- gửi
- riêng biệt
- Loạt Sách
- phục vụ
- máy chủ
- Các máy chủ
- dịch vụ
- các nhà cung cấp dịch vụ
- DỊCH VỤ
- Phiên
- định
- thiết lập
- một số
- Chia sẻ
- chia sẻ
- Shell
- VẬN CHUYỂN
- ngắn
- nên
- hiển thị
- thể hiện
- Chương trình
- tương tự
- tương
- Đơn giản
- kể từ khi
- nhỏ
- một số
- bằng cách nào đó
- tinh vi
- sự tinh tế
- Không gian
- đặc biệt
- riêng
- đặc biệt
- chi tiết cụ thể
- quy định
- chia
- SSL
- xếp chồng
- dàn dựng
- Tiêu chuẩn
- Trạng thái
- Bước
- Vẫn còn
- là gắn
- hàng
- dòng
- Chuỗi
- cấu trúc
- nghiên cứu
- tiếp theo
- Sau đó
- thành công
- Thành công
- như vậy
- TÓM TẮT
- Hỗ trợ
- Hỗ trợ
- Công tắc điện
- hệ thống
- bàn
- Hãy
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- Kỹ thuật
- Phân tích kỹ thuật
- viễn thông
- Kiểm tra
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- năm nay
- những
- mối đe dọa
- Báo cáo Đe doạ
- số ba
- Thông qua
- khắp
- Như vậy
- thời gian
- timeline
- dấu thời gian
- đến
- mã thông báo
- công cụ
- công cụ
- giao thông
- truyền
- trong suốt
- khuynh hướng
- hai
- kiểu
- loại
- điển hình
- thường
- Dưới
- độc đáo
- Kỳ
- Ả Rập thống nhất
- các Tiểu Vương Quốc Ả Rập Thống Nhất
- không xác định
- không giống
- VÔ DANH
- không cần thiết
- không cần thiết
- cập nhật
- tải lên
- URL
- us
- sử dụng
- đã sử dụng
- sử dụng
- sử dụng
- thường
- tiện ích
- v1
- giá trị
- Các giá trị
- biến thể
- nhiều
- khác nhau
- thay đổi
- xe
- phiên bản
- phiên bản
- ngành dọc
- thông qua
- nạn nhân
- nạn nhân
- Truy cập
- trực quan
- khối lượng
- vs
- chờ đợi
- là
- Đồng hồ đeo tay
- Đường..
- we
- web
- các dịch vụ web
- Website
- TỐT
- là
- khi nào
- liệu
- cái nào
- trong khi
- toàn bộ
- có
- tại sao
- chiều rộng
- sẽ
- cửa sổ
- cửa sổ
- với
- ở trong
- đang làm việc
- viết
- viết
- năm
- nhưng
- zephyrnet