OilRig : une nouvelle vague de logiciels malveillants parrainés par l’État iranien déployée en Israël

Les trois nouveaux téléchargeurs ont été baptisés ODAgent, OilCheck et OilBooster par la société slovaque de cybersécurité ESET. Les attaques ont également impliqué l’utilisation d’une version mise à jour d’un téléchargeur OilRig connu, baptisé SampleCheck5000 (ou SC5k).

« Ces téléchargeurs légers […] ont la particularité d’utiliser l’une des API légitimes des services en nuage pour la communication [de commande et de contrôle] et l’exfiltration de données : les API Microsoft Graph OneDrive ou Outlook, et l’API Microsoft Office Exchange Web Services (EWS) », ont déclaré les chercheurs en sécurité Zuzana Hromcová et Adam Burgher dans un rapport partagé avec The Hacker News.

En utilisant des fournisseurs de services en nuage bien connus pour les communications de commande et de contrôle, l’objectif est de se fondre dans le trafic réseau authentique et de dissimuler l’infrastructure d’attaque du groupe.

Parmi les cibles de la campagne figurent notamment une organisation du secteur de la santé, une entreprise manufacturière et une organisation gouvernementale locale. Toutes les victimes auraient déjà été ciblées par l’acteur de la menace.

Le vecteur d’accès initial exact utilisé pour compromettre les cibles n’est actuellement pas clair et on ne sait pas si les attaquants ont réussi à maintenir leur emprise sur les réseaux afin de déployer ces téléchargeurs à différents moments en 2022.

OilRig, également connu sous les noms d’APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anciennement EUROPIUM) et Helix Kitten, est un groupe de cyberespionnage iranien actif depuis au moins 2014, qui utilise un large éventail de logiciels malveillants pour cibler des entités au Moyen-Orient. Rien que cette année, l’équipe de pirates a été observée en train d’utiliser de nouveaux logiciels malveillants tels que MrPerfectionManager, PowerExchange, Solar, Mango et Menorah.

ODAgent , détecté pour la première fois en février 2022, est un téléchargeur C#/.NET qui utilise l’API de Microsoft OneDrive pour les communications de commande et de contrôle ( C2 ), permettant à l’acteur de la menace de télécharger des charges utiles exécutées, d’exfiltrer des fichiers mis en scène . SampleCheck5000 , d’autre part , conçu pour interagir avec le compte de messagerie Microsoft Exchange partagé télécharger exécuter des outils OilRig supplémentaires en utilisant Office Exchange Web Services ( EWS ) API .

De même, OilBooster utilise l’API Microsoft OneDrive pour C2 tandis que OilCheck utilise la même technique que SampleCheck5000 pour extraire les commandes intégrées dans les brouillons de messages. Mais au lieu d’utiliser l’API EWS , il tire parti de l’API Microsoft Graph pour les communications réseau .

Oilbooster est également similaire à OilCheck en ce sens qu’il utilise l’API Microsoft Graph pour connecter un compte Microsoft Office 365. Ce qui est différent cette fois-ci, c’est que l’API utilisée interagit avec le compte OnDrive contrôlé par l’acteur et s’oppose au compte Outlook afin d’extraire les commandes des charges utiles des dossiers spécifiques de la victime.

Ces outils partagent également des similitudes MrPerfectionManager PowerExchange backdoors quand vient email – basé sur des protocoles c2 exfiltrer des données bien que le cas dernier organisation victime ‘ s serveur d’échange utilisé envoyer des messages attaquant ‘ s compte de messagerie .

« Dans tous les cas, les téléchargeurs utilisent un compte partagé (courriel ou stockage dans le nuage) pour échanger des messages avec les opérateurs des plateformes pétrolières ; le même compte est généralement partagé par plusieurs victimes », expliquent les chercheurs.

« Les téléchargeurs accèdent à ce compte pour télécharger des commandes, des charges utiles supplémentaires mises en place par les opérateurs, des commandes de téléchargement de fichiers mis en place en sortie.