ESET наблюдала две кампании OilRig, которые проходили в 2021 (Outer Space) и 2022 (Juicy Mix) годах.
- Операторы нацеливались исключительно на израильские организации и компрометировали легитимные израильские сайты для использования в своих C&C-коммуникациях.
- В каждой из кампаний использовался новый, ранее не документированный бэкдор первого этапа на языке C#/.NET: Solar in Outer Space, а затем его преемника Mango in Juicy Mix.
- Оба бэкдора были развернуты с помощью VBS-дропперов, предположительно распространяемых с помощью копьеметалки.
- В обеих кампаниях были развернуты различные посткомпрометирующие инструменты, в частности, загрузчик SC5k, использующий Microsoft Office Exchange Web Services API для связи с C&C, а также несколько инструментов для кражи данных браузера и учетных данных из Windows Credential Manager.
OilRig, также известная как APT34, Lyceum или Siamesekitten, - кибершпионская группа, действующая по меньшей мере с 2014 года и, как принято считать, базирующаяся в Иране. Ее целью являются правительства стран Ближнего Востока и различные сферы бизнеса, в том числе химическая, энергетическая, финансовая и телекоммуникационная. В 2018 и 2019 годах OilRig провела кампанию DNSpionage, целью которой были жертвы в Ливане и Объединенных Арабских Эмиратах. В 2019 и 2020 годах OilRig продолжила атаки в рамках кампании HardPass, в которой с помощью LinkedIn атаковала ближневосточных жертв в энергетическом и государственном секторах. В 2021 году OilRig обновила бэкдор DanBot и приступила к развертыванию бэкдоров Shark, Milan и Marlin.
Indicators of Compromise
IPv4
- 199.102.48.42
Domains
- tecforsc-001-site1.gtempurl.com
SHA1
- 1de4810a10fa2d73cc589ca403a4390b02c6da5e
- 2236d4dcf68c65a822ff0a2ad48d4df99761ad07
- 3699b67bf4e381847bf98528f8ce2b966231f01a
- 3d71d782b95f13ee69e96bcf73ee279a00eae5db
- 6a1ba65c9fd8cc9dcb0657977db2b03dacdd8a2a
- 83419cba55c898fdbe19dfafb5b1b207cc443190
- 94c08a619af2b08fef08b131a7a59d115c8c2f7b
- be01c95c2b5717f39b550ea20f280d69c0c05894
- be9b6aca8a175df61f2c75932e029f19789fd7e3
- c9d18d01e1ec96be952a9d7bd78f6bbb4dd2aa2a
- ca53b8eb76811c1940d814aaa8fe875003805f51
- cb26ebde498ecd2d7cbf1bc498e1bcbb2619a96c
- db01095afef88138c9ed3847b5d8af954ed7bbbc
- ea8c3e9f418dcf92412eb01fcdcdc81fdd591bf1