Израильские организации были атакованы в рамках двух разных кампаний, организованных иранским субъектом национального государства, известным как OilRig, в 2021 и 2022 годах.
Кампании, получившие названия Outer Space и Juicy Mix, повлекли за собой использование двух ранее задокументированных бэкдоров первого этапа под названием Solar и Mango, которые были развернуты для сбора конфиденциальной информации из основных браузеров и диспетчера учетных данных Windows.
"Оба бэкдора были запущены VBS-дропперами, предположительно распространявшимися через фишинговые электронные письма", - сказала исследователь безопасности ESET Зузана Хромцова в анализе, опубликованном в четверг.
OilRig (он же APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten) - это название, присвоенное группе вторжения, связанной с Министерством разведки и безопасности Ирана (MOIS). Действующий с 2014 года, этот угрожающий субъект использовал широкий спектр имеющихся в его распоряжении инструментов для осуществления кражи информации.
Ранее в феврале этого года Trend Micro обнаружила, что OilRig использует простой бэкдор для кражи учетных данных пользователей, подчеркнув его "гибкость в написании новых вредоносных программ на основе изученных клиентских сред и уровней доступа".
Также было замечено, что группа распространяет обновленную версию SideTwist в рамках фишинг-атаки, которая, вероятно, нацелена на американские предприятия.
Тем не менее, использование вредоносного ПО Mango было ранее подчеркнуто как ESET, так и Microsoft в мае 2023 года, причем последняя приписала его формирующемуся кластеру активности, который она отслеживает под названием Storm-0133.
Storm-0133, также связанный с MOIS, нацелен исключительно на израильские местные правительственные учреждения и компании, обслуживающие секторы обороны, жилья и здравоохранения, сказал производитель Windows.
Последние данные словацкой фирмы по кибербезопасности свидетельствуют о том, что группа продолжает уделять особое внимание Израилю, используя фишинговые приманки, чтобы обманом заставить потенциальных целей установить вредоносное ПО с помощью вложений-ловушек.
В ходе космической кампании, наблюдавшейся в 2021 году, OilRig скомпрометировала израильский сайт отдела кадров и впоследствии использовала его в качестве сервера командования и управления (C2) для Solar, базового бэкдора на C # / .NET, способного загружать и выполнять файлы и собирать информацию.
Solar также выступает в качестве средства для развертывания загрузчика с именем SampleCheck5000 (или SC5k), который использует API веб-служб Office Exchange (EWS) для загрузки дополнительных инструментов для выполнения, а также утилиты для извлечения данных из веб-браузера Chrome, называемого MKG.
"Как только SC5k входит в удаленный сервер Exchange, он извлекает все электронные письма из каталога черновиков, сортирует их по самым последним, сохраняя только черновики с вложениями", - сказала Хромцова.
"Затем он перебирает каждый черновик сообщения с вложением, ища вложения в формате JSON, которые содержат "данные" в теле. Он извлекает значение из ключевых данных в файле JSON, base64 расшифровывает значение и вызывает cmd.exe для выполнения результирующей строки командной строки."
Результаты выполнения команды обрабатываются и отправляются операторам через новое сообщение электронной почты на сервере Exchange с сохранением его в виде черновика.
Кампания Juicy Mix 2022 года включала использование Mango, улучшенной версии Solar, включающей дополнительные возможности и методы обфускации. В целях C2 злоумышленник скомпрометировал законный сайт израильского портала вакансий.
"OilRig продолжает внедрять инновации и создавать новые имплантаты с возможностями, подобными бэкдору, одновременно находя новые способы выполнения команд в удаленных системах", - сказала Хромцова.
"Группа развертывает набор пользовательских инструментов для устранения компрометации, которые используются для сбора учетных данных, файлов cookie и истории посещенных страниц из основных браузеров и из диспетчера учетных данных Windows".
Кампании, получившие названия Outer Space и Juicy Mix, повлекли за собой использование двух ранее задокументированных бэкдоров первого этапа под названием Solar и Mango, которые были развернуты для сбора конфиденциальной информации из основных браузеров и диспетчера учетных данных Windows.
"Оба бэкдора были запущены VBS-дропперами, предположительно распространявшимися через фишинговые электронные письма", - сказала исследователь безопасности ESET Зузана Хромцова в анализе, опубликованном в четверг.
OilRig (он же APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten) - это название, присвоенное группе вторжения, связанной с Министерством разведки и безопасности Ирана (MOIS). Действующий с 2014 года, этот угрожающий субъект использовал широкий спектр имеющихся в его распоряжении инструментов для осуществления кражи информации.
Ранее в феврале этого года Trend Micro обнаружила, что OilRig использует простой бэкдор для кражи учетных данных пользователей, подчеркнув его "гибкость в написании новых вредоносных программ на основе изученных клиентских сред и уровней доступа".
Также было замечено, что группа распространяет обновленную версию SideTwist в рамках фишинг-атаки, которая, вероятно, нацелена на американские предприятия.
Тем не менее, использование вредоносного ПО Mango было ранее подчеркнуто как ESET, так и Microsoft в мае 2023 года, причем последняя приписала его формирующемуся кластеру активности, который она отслеживает под названием Storm-0133.
Storm-0133, также связанный с MOIS, нацелен исключительно на израильские местные правительственные учреждения и компании, обслуживающие секторы обороны, жилья и здравоохранения, сказал производитель Windows.
Последние данные словацкой фирмы по кибербезопасности свидетельствуют о том, что группа продолжает уделять особое внимание Израилю, используя фишинговые приманки, чтобы обманом заставить потенциальных целей установить вредоносное ПО с помощью вложений-ловушек.
В ходе космической кампании, наблюдавшейся в 2021 году, OilRig скомпрометировала израильский сайт отдела кадров и впоследствии использовала его в качестве сервера командования и управления (C2) для Solar, базового бэкдора на C # / .NET, способного загружать и выполнять файлы и собирать информацию.
Solar также выступает в качестве средства для развертывания загрузчика с именем SampleCheck5000 (или SC5k), который использует API веб-служб Office Exchange (EWS) для загрузки дополнительных инструментов для выполнения, а также утилиты для извлечения данных из веб-браузера Chrome, называемого MKG.
"Как только SC5k входит в удаленный сервер Exchange, он извлекает все электронные письма из каталога черновиков, сортирует их по самым последним, сохраняя только черновики с вложениями", - сказала Хромцова.
"Затем он перебирает каждый черновик сообщения с вложением, ища вложения в формате JSON, которые содержат "данные" в теле. Он извлекает значение из ключевых данных в файле JSON, base64 расшифровывает значение и вызывает cmd.exe для выполнения результирующей строки командной строки."
Результаты выполнения команды обрабатываются и отправляются операторам через новое сообщение электронной почты на сервере Exchange с сохранением его в виде черновика.
Кампания Juicy Mix 2022 года включала использование Mango, улучшенной версии Solar, включающей дополнительные возможности и методы обфускации. В целях C2 злоумышленник скомпрометировал законный сайт израильского портала вакансий.
"OilRig продолжает внедрять инновации и создавать новые имплантаты с возможностями, подобными бэкдору, одновременно находя новые способы выполнения команд в удаленных системах", - сказала Хромцова.
"Группа развертывает набор пользовательских инструментов для устранения компрометации, которые используются для сбора учетных данных, файлов cookie и истории посещенных страниц из основных браузеров и из диспетчера учетных данных Windows".
