Новости Иран развязывает кибервойну: группа OilRig собирает черновики Израиля

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Зачем иранским хакерам понадобились сервера Exchange в атаках?


49qfrkwim428yp6kd2t3u6ofkcc2haqh.jpg


Исследователи безопасности из ИБ-компании ESET Для просмотра ссылки Войди или Зарегистрируйся , что израильские организации стали целью двух различных кампаний, организованных иранской группировкой OilRig в 2021 и 2022 годах.

Кампании, получившие названия «Outer Space» и «Juicy Mix», включали в себя использование двух ранее задокументированных первоначальных бэкдоров под названиями Solar и Mango. Инструменты были задействованы для сбора конфиденциальной информации из основных браузеров и диспетчера учетных данных Windows. По словам исследователей ESET, оба бэкдора были развернуты с помощью VBS-дропперов, предположительно распространяемых через фишинговые письма.

OilRig (также известный как APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten) — это название, данное группе, связанной с Министерством разведки и безопасности Ирана (MOIS). Активная с 2014 года, группа использовала широкий спектр инструментов для кражи информации.

<span style="font-size: 12pt;">Кампания Outer Space</span>


1srzn3eqscedscny6nj2bxu6td75io97.png


Цепочка заражения кампании Outer Space

В ходе кампании Outer Space 2021 года хакеры OilRig скомпрометировали израильский сайт по подбору персонала и использовали его в качестве сервера управления и контроля (Command and Control, C2) для Solar, бэкдора на C#/.NET, способного загружать/выполнять файлы и собирать информацию.

Solar также служит средством для развертывания загрузчика SampleCheck5000 (или SC5k), который использует API Office Exchange Web Services (EWS) для загрузки дополнительных инструментов для выполнения, а также утилиты для эксфильтрации данных из браузера Chrome под названием MKG.

  • После попадания на удаленный сервер Exchange SC5k извлекает все письма в каталоге Черновики, сортирует их по дате, сохраняя только черновики с вложениями.
  • Затем SC5k проходит по каждому черновику с вложением и ищет JSON-вложения, содержащие данные в теле письма.
  • Загрузчик извлекает значение из данных в файле JSON, декодирует значение в base64, расшифровывает значение и вызывает cmd.exe для выполнения полученной командной строки. Результаты выполнения команды обрабатываются и отправляются обратно операторам через новое сообщение Exchange, сохраняя его как черновик.

<span style="font-size: 12pt;">Кампания Juicy Mix</span>


34mgrblfhu9c898dq4i0mhxdp2f7x6zy.png


Цепочка заражения кампании Juicy Mix

Кампания 2022 года включала в себя использование Mango — улучшенную версия Solar, включающую в себя дополнительные функции и методы обфускации. Инструмент способен собирать конфиденциальную информацию из основных браузеров и диспетчера учетных данных Windows.

Инструмент разработан для более эффективного и скрытного сбора данных и выполнения команд на зараженных системах, Mango, подобно Solar, использует сложные методы коммуникации для обеспечения скрытности своей активности. В качестве C2-сервера хакеры скомпрометировали легитимный израильский портал по трудоустройству.

OilRig продолжает внедрять инновации и создавать новые имплантаты с возможностями, подобными бэкдорам, одновременно находя новые способы выполнения команд на удаленных системах. Группа развертывает набор пользовательских инструментов посткомпрометации, которые используются для сбора учетных данных, cookie-файлов и истории просмотров из основных браузеров, а также данных из диспетчера учетных данных Windows, заключили исследователи ESET.

Наблюдаемое использование хакерских возможностей Ирана свидетельствует о прагматичных кибероперациях, Для просмотра ссылки Войди или Зарегистрируйся , которые совпадают с геополитическими целями Ирана.

Помимо политических причин кибератак на Израиль, Иран также недавно Для просмотра ссылки Войди или Зарегистрируйся посредством дефектных иностранных деталей, которые могут взорваться, повредив или уничтожив оружие до того, как оно будет использовано.
 
Источник новости
www.securitylab.ru

Похожие темы