Η OilRig, μια ιρανική ομάδα hacking, έχει επιμείνει να στοχεύει κυβερνητικές εταιρείες στη Μέση Ανατολή στο πλαίσιο της κυβερνοκατασκοπευτικής αποστολής της. Η εκστρατεία αυτή χρησιμοποιεί ένα νέο backdoor που επιτρέπει στους χάκερ να κλέβουν δεδομένα από αυτά τα δίκτυα.
Οι ερευνητές της Pattern Micro, Mohamed Fahmy, Sherif Magdy και Mahmoud Zohdy δήλωσαν ότι η κακόβουλη εκστρατεία μάρκετινγκ εκμεταλλεύεται γνήσιους αλλά παραβιασμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου για να στείλει κλεμμένα δεδομένα σε εξωτερικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου που ανήκουν στους επιτιθέμενους.
Δείτε επίσης: Google ads ωθούν “εικονικό” malware που έχει δημιουργηθεί για την υπεκφυγή των antivirus
Αυτή η τακτική μπορεί να μην είναι καινούρια, ωστόσο είναι η πρώτη φορά που η OilRig χρησιμοποιεί αυτή την κίνηση για να παρακάμψει τις δικλείδες ασφαλείας. Αυτό σηματοδοτεί μια σημαντική εξέλιξη στα συνήθη πρωτόκολλα και τις διαδικασίες της.
Η ομάδα OilRig, που αναφέρεται επίσης ως APT34, Cobalt Gypsy, Europium και Helix Kitten, έχει τεκμηριωθεί για τις πιστοποιημένες επιθέσεις phishing της στο Centre East δεδομένου ότι τουλάχιστον το 2014.
Συνδεδεμένη με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS), η ομάδα αναγνωρίζεται ότι χρησιμοποιεί ένα ποικίλο σύνολο εργαλείων στις δραστηριότητές της, με πρόσφατες επιθέσεις το 2021 και το 2022 που χρησιμοποιούν backdoors όπως τα Karkoff, Shark, Marlin και Saitama για κλοπή πληροφοριών.
Η νεότερη κακόβουλη δραστηριότητα βασίζεται στο .NET και διαθέτει ένα dropper που λειτουργεί για να παρέχει τέσσερα διακριτά στοιχεία, όπως το κύριο εμφύτευμα (“DevicesSrv.exe”) που είναι υπεύθυνο για την κλοπή επιλεγμένων αρχείων ενδιαφέροντος.
Δείτε επίσης: Ο πρώην dev της Ubiquiti παρίστανε τον χάκερ και εκβίαζε τον εργοδότη του
Κατά τη διάρκεια της 2ης φάσης, χρησιμοποιείται ένα ισχυρό αρχείο Dynamic-URL Library (DLL) που μπορεί να εξάγει τα credentials σύνδεσης τόσο από χρήστες domain όσο και από τοπικούς λογαριασμούς.
Η πιο αξιοσημείωτη πτυχή του backdoor .NET είναι το καθεστώς exfiltration, το οποίο περιλαμβάνει τη χρήση των κλεμμένων credentials για την παράδοση ψηφιακών μηνυμάτων σε διευθύνσεις ηλεκτρονικού ταχυδρομείου Gmail και Proton Mail που διαχειρίζονται οι χάκερ.
Τα συνεχώς εξελισσόμενα εργαλεία της OilRig αποδεικνύουν την ευελιξία τους στη δημιουργία νέου κακόβουλου λογισμικού με βάση τα στοχευμένα δίκτυα και τα προνόμια στα οποία μπορεί να έχει πρόσβαση σε διάφορα στάδια μιας επίθεσης. Αυτό καταδεικνύει την αξιοσημείωτη προσαρμοστικότητα των φορέων κινδύνου στην ανάπτυξη διαφορετικού κακόβουλου εξοπλισμού για κάθε δεδομένη κατάσταση.
Δείτε επίσης: Αυξάνεται η χρήση των εγγράφων Microsoft OneNote για την παράδοση malware
“Παρά τη φαινομενική απλότητα αυτής της ρουτίνας, το δεύτερο και το τελικό στάδιο αποδεικνύουν ότι θα μπορούσε να είναι ένα απλό κομμάτι μιας εκτεταμένης στοχευμένης εκστρατείας κατά κυβερνήσεων”, ανέφεραν οι ερευνητές.
Πηγή πληροφοριών: thecybersecurity.news
