OilRig (APT34) APT IOCs

security IOC
Опубликовано

ESET наблюдала две кампании OilRig, которые проходили в 2021 (Outer Space) и 2022 (Juicy Mix) годах.

  • Операторы нацеливались исключительно на израильские организации и компрометировали легитимные израильские сайты для использования в своих C&C-коммуникациях.
  • В каждой из кампаний использовался новый, ранее не документированный бэкдор первого этапа на языке C#/.NET: Solar in Outer Space, а затем его преемника Mango in Juicy Mix.
  • Оба бэкдора были развернуты с помощью VBS-дропперов, предположительно распространяемых с помощью копьеметалки.
  • В обеих кампаниях были развернуты различные посткомпрометирующие инструменты, в частности, загрузчик SC5k, использующий Microsoft Office Exchange Web Services API для связи с C&C, а также несколько инструментов для кражи данных браузера и учетных данных из Windows Credential Manager.

OilRig, также известная как APT34, Lyceum или Siamesekitten, - кибершпионская группа, действующая по меньшей мере с 2014 года и, как принято считать, базирующаяся в Иране. Ее целью являются правительства стран Ближнего Востока и различные сферы бизнеса, в том числе химическая, энергетическая, финансовая и телекоммуникационная. В 2018 и 2019 годах OilRig провела кампанию DNSpionage, целью которой были жертвы в Ливане и Объединенных Арабских Эмиратах. В 2019 и 2020 годах OilRig продолжила атаки в рамках кампании HardPass, в которой с помощью LinkedIn атаковала ближневосточных жертв в энергетическом и государственном секторах. В 2021 году OilRig обновила бэкдор DanBot и приступила к развертыванию бэкдоров Shark, Milan и Marlin.

Indicators of Compromise

IPv4

  • 199.102.48.42

Domains

  • tecforsc-001-site1.gtempurl.com

SHA1

  • 1de4810a10fa2d73cc589ca403a4390b02c6da5e
  • 2236d4dcf68c65a822ff0a2ad48d4df99761ad07
  • 3699b67bf4e381847bf98528f8ce2b966231f01a
  • 3d71d782b95f13ee69e96bcf73ee279a00eae5db
  • 6a1ba65c9fd8cc9dcb0657977db2b03dacdd8a2a
  • 83419cba55c898fdbe19dfafb5b1b207cc443190
  • 94c08a619af2b08fef08b131a7a59d115c8c2f7b
  • be01c95c2b5717f39b550ea20f280d69c0c05894
  • be9b6aca8a175df61f2c75932e029f19789fd7e3
  • c9d18d01e1ec96be952a9d7bd78f6bbb4dd2aa2a
  • ca53b8eb76811c1940d814aaa8fe875003805f51
  • cb26ebde498ecd2d7cbf1bc498e1bcbb2619a96c
  • db01095afef88138c9ed3847b5d8af954ed7bbbc
  • ea8c3e9f418dcf92412eb01fcdcdc81fdd591bf1
Похожие записи:
  1. EUROPIUM APT IOCs
  2. APT34 APT IOCs
  3. Lazarus APT IOCs - Part 3
  4. Bahamut APT IOCs
  5. Dolphin Backdoor IOCs
APT APT34 ESET OilRig
Добавить комментарий