İran Devlet Destekli OilRig Group, 3 Yeni Kötü Amaçlı Yazılım İndiricisini Dağıtıyor

Üç yeni indirici, Slovak siber güvenlik şirketi ESET tarafından ODAgent, OilCheck ve OilBooster olarak adlandırıldı. Saldırılar ayrıca SampleCheck5000 (veya SC5k) olarak adlandırılan bilinen bir OilRig indiricisinin güncellenmiş bir sürümünün kullanımını da içeriyordu.

"Bu hafif indiriciler [...] [komut ve kontrol] iletişimi ve veri hırsızlığı için birkaç meşru bulut hizmeti API'sinden birini kullanmak için dikkate değerdir: Microsoft Graph OneDrive veya Outlook API'leri ve Microsoft Office Exchange Web Hizmetleri (EWS) API'si, "güvenlik araştırmacıları Zuzana Hromcová ve Adam Burgher, paylaşılan bir raporda söyledi.

Komuta ve kontrol iletişimi için tanınmış bulut hizmeti sağlayıcılarını kullanarak amaç, gerçek ağ trafiğiyle uyum sağlamak ve grubun saldırı altyapısını örtbas etmektir.

Kampanyanın hedeflerinden bazıları, diğerlerinin yanı sıra sağlık sektöründeki bir kuruluş, bir imalat şirketi ve bir yerel hükümet kuruluşunu içeriyor. Tüm kurbanların daha önce tehdit aktörü tarafından hedef alındığı söyleniyor.

Hedefleri tehlikeye atmak için kullanılan ilk erişim vektörü şu anda belirsizdir ve saldırganların bu indiricileri 2022'de çeşitli zamanlarda dağıtmak için ağlardaki yerlerini korumayı başarıp başaramadıkları bilinmemektedir.

APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (eski adıyla EUROPIUM) ve Helix Kitten olarak da bilinen OilRig, en az 2014'ten beri aktif olduğu bilinen ve Orta Doğu'daki varlıkları hedef almak için emrinde çok çeşitli kötü amaçlı yazılımlar kullanan İranlı bir siber casusluk grubudur.

Yalnızca bu yıl, bilgisayar korsanlığı ekibinin MrPerfectionManager, PowerExchange, Solar, Mango ve Menorah gibi yeni kötü amaçlı yazılımlardan yararlandığı gözlemlendi.

İlk olarak Şubat 2022'de tespit edilen ODAgent, komut ve kontrol (C2) iletişimleri için Microsoft OneDrive API'sini kullanan ve tehdit aktörünün yükleri indirip yürütmesine ve aşamalı dosyaları sızdırmasına olanak tanıyan bir C#/.NET indiricisidir.

Öte yandan SampleCheck5000, Office Exchange Web Services (EWS) API'sini kullanarak ek OilRig araçlarını indirmek ve yürütmek için paylaşılan bir Microsoft Exchange posta hesabıyla etkileşim kurmak üzere tasarlanmıştır.

OilBooster, ODAgent ile aynı şekilde, C2 için Microsoft OneDrive API'sini kullanırken, OilCheck, taslak mesajlara gömülü komutları çıkarmak için SampleCheck5000 ile aynı tekniği kullanır. Ancak EWS API'sini kullanmak yerine, ağ iletişimleri için Microsoft Graph API'sini kullanır.

OilBooster, bir Microsoft Office 365 hesabına bağlanmak için Microsoft Graph API'sini kullanması bakımından OilCheck'e de benzer. Bu sefer farklı olan şey, API'nin kurbana özel klasörlerden komutları ve yükleri almak için bir Outlook hesabının aksine, aktör tarafından kontrol edilen bir OneDrive hesabıyla etkileşim kurmak için kullanılmasıdır.

Bu araçlar, verileri sızdırmak için e-posta tabanlı C2 protokollerini kullanma söz konusu olduğunda MrPerfectionManager ve PowerExchange arka kapılarıyla da benzerlikler paylaşır, ancak ikincisi söz konusu olduğunda, mağdur kuruluşun Exchange Server'ı saldırganın e-posta hesabına mesaj göndermek için kullanılır.

"Her durumda, indiriciler, OilRig operatörleriyle mesaj alışverişinde bulunmak için paylaşılan (e-posta veya bulut depolama) OilRig tarafından işletilen bir hesap kullanır; Aynı hesap genellikle birden fazla kurban tarafından paylaşılıyor" dedi.

"İndiriciler, operatörler tarafından hazırlanan komutları ve ek yükleri indirmek ve komut çıktısını ve aşamalı dosyaları yüklemek için bu hesaba erişir."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği