OilRig APT IOCs

security IOC
Опубликовано

Исследователи ESET проанализировали растущую серию загрузчиков OilRig, которые группировка использовала в нескольких кампаниях на протяжении 2022 года, чтобы сохранить доступ к целевым организациям, представляющим особый интерес - все они расположены в Израиле. Эти легковесные загрузчики, которые мы назвали SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent и OilBooster, отличаются тем, что используют один из нескольких легитимных API облачных сервисов для C&C-коммуникаций и утечки данных: Microsoft Graph OneDrive или Outlook API, а также Microsoft Office Exchange Web Services (EWS) API.

  • На протяжении 2022 года OilRig активно разрабатывала и использовала серию загрузчиков со схожей логикой: три новых загрузчика - ODAgent, OilCheck, OilBooster - и новые версии загрузчика SC5k.
  • Загрузчики используют различные API легитимных облачных сервисов для связи с C&C и утечки данных: Microsoft Graph OneDrive API, Microsoft Graph Outlook API и Microsoft Office EWS API.
  • Цели, все из которых находились в Израиле, включали организацию в сфере здравоохранения, производственную компанию, местную правительственную организацию и другие организации.
  • Все цели были ранее затронуты несколькими кампаниями OilRig.

Indicators of Compromise

IPv4

  • 188.114.96.2

Domains

  • host1.com

SHA1

  • 0f164894dc7d8256b66d0ebaa7afedcf5462f881
  • 1b2fedd5f2a37a0152231ae4099a13c8d4b73c9e
  • 2236d4dcf68c65a822ff0a2ad48d4df99761ad07
  • 35e0e78ec35b68d3ee1805eeceea352c5fe62eb6
  • 3bf19ae7fb24fce2509623e7e0d03b5a872456d4
  • 51b6ec5de852025f63740826b8edf1c8d22f9261
  • 6001a008a3d3a0c672e80960387f4b10c0a7bd9b
  • 7ad4dcda1c65accc9ef1e168162de7559d2fdf60
  • 7e498b3366f54e936cb0af767bfc3d1f92d80687
  • 8d84d32df5768b0d4d2ab8b1327c43f17f182001
  • a56622a6ef926568d0bdd56fedbff14bd218ad37
  • a97f4b4519947785f66285b546e13e52661a6e6f
  • aae958960657c52b848a7377b170886a34f4ae99
  • aef3140cd0ee6f49bfcc41f086b7051908b91bdd
  • ba439d2fc3298675f197c8b17b79f34485271498
  • be9b6aca8a175df61f2c75932e029f19789fd7e3
  • c04f874430c261aabd413f27953d30303c382953
  • c225e0b256edb9a2ea919bacc62f29319de6cb11
  • ddf0b7b509b240aab6d4ab096284a21d9a3cb910
  • e78830384ff14a58df36303602bc9a2c0334a2a4
  • ea8c3e9f418dcf92412eb01fcdcdc81fdd591bf1
Похожие записи:
  1. OilRig (APT34) APT IOCs
  2. EUROPIUM APT IOCs
  3. APT34 APT IOCs
  4. Lazarus APT IOCs - Part 3
  5. Bahamut APT IOCs
APT APT34 ESET OilRig
Добавить комментарий