● ESET Research a analysé deux campagnes d’OilRig qui ont eu lieu en 2021 (Outer Space) et 2022 (Juicy Mix) par ce groupe APT lié à l'Iran.
● Les opérateurs ont ciblé uniquement des organisations israéliennes et compromis des sites Web israéliens légitimes pour les utiliser dans les communications Command & Control (C&C) d'OilRig.
● Dans chaque campagne, ils ont utilisé une nouvelle porte dérobée encore non documentée: Solar in Outer Space, ensuite Mango in Juicy Mix.
● Dans les deux campagnes, une variété d'outils post-compromis ont été utilisés pour collecter des informations sensibles auprès des principaux navigateurs ainsi que de Windows Credential Manager.
BRATISLAVA, MONTREAL — Le 21 septembre 2023 — Des chercheurs d'ESET ont analysé deux campagnes du groupe OilRig APT, lié à l'Iran : Outer Space de 2021 et Juicy Mix de 2022. Ces campagnes de cyber-espionnage ciblaient uniquement des organisations israéliennes, ce qui correspond à l'orientation du groupe sur le Moyen-Orient. Toutes deux ont utilisé le même schéma : OilRig a d'abord compromis un site légitime pour l'utiliser comme serveur C&C, puis a équipé ses victimes de portes dérobées encore non documentées. Elles ont aussi déployé une variété d'outils post-compromis principalement utilisés pour exfiltrer des données des systèmes ciblés. Ceux-ci étaient utilisés spécifiquement pour collecter des informations d'identification de Windows Credential Manager et des principaux navigateurs, des cookies et l'historique de navigation.
Pour sa campagne Outer Space, OilRig a utilisé une simple porte dérobée C#/.NET encore non documentée qu'ESET Research a nommée Solar, ainsi qu'un nouveau télé-chargeur, SampleCheck5000 (ou SC5k), qui utilise l'API des services Web de Microsoft Office Exchange pour la communication C&C. Dans sa campagne Juicy Mix, le groupe a amélioré Solar pour créer la porte dérobée Mango, qui dispose de capacités et de méthodes d'obscurcissement supplémentaires. Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées par des e-mails de spearphishing. En plus de détecter l'ensemble des outils malveillants, ESET a informé le CERT israélien à propos des sites Web compromis.
La porte dérobée Solar possède des fonctionnalités de base et peut aussi être utilisée pour télécharger et exécuter des fichiers et exfiltrer automatiquement les fichiers intermédiaires. Le serveur Web d’une société israélienne de ressources humaines, qu’OilRig a compromis avant le déploiement de Solar, a été utilisé comme serveur C&C.
Pour sa campagne Juicy Mix, OilRig est passé de la porte dérobée Solar à Mango. Elle a un flux de travail pareil à celui de Solar et des capacités qui se superposent mais avec quelques changements techniques importants. Dans Mango, ESET a identifié une technique d'évasion de détection inutilisée. « L’objectif de cette technique est d’empêcher les solutions de sécurité des terminaux de charger leur code en mode utilisateur via une DLL au cours de ce processus. Alors que le paramètre n'a pas été utilisé dans l'échantillon analysé, il pourrait être activé dans les versions futures », explique Zuzana Hromcová, la chercheuse d'ESET, qui a co-analysé les deux campagnes d'OilRig.
OilRig, connu aussi sous le nom d'APT34, Lyceum ou Siamesekitten, est un groupe de cyber-espionnage actif depuis au moins 2014 et dont on pense qu'il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs verticaux, notamment la chimie, l'énergie, la finance et les télécoms.
Pour plus d'informations techniques sur OilRig et ses campagnes Outer Space et Juicy Mix, consultez le blog «OilRig’s Outer Space and Juicy Mix: Same ol’ rig, new drill pipes» sur WeLiveSecurity. Suivez aussi ESET Research sur Twitter (aujourd'hui connu sous le nom de X) pour les dernières nouvelles d'ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/