Üretken İranlı gelişmiş kalıcı tehdit grubu (APT) Sondaj kulesi 2022 yılı boyunca siber saldırılarda, saldırgan iletişimlerini yürütmek ve verileri sızdırmak için meşru Microsoft bulut hizmetlerini kullanan bir dizi özel indiriciden yararlanmasıyla dikkat çeken birçok İsrail kuruluşunu defalarca hedef aldı.
OilRig (diğer adıyla APT34, Helix Kitten, Cobalt Gypsym, LiseCrambus veya Siamesekitten) saldırılarda geçen yıl geliştirilen dört yeni indiriciyi (SampleCheck5000 (SC5k v1-v3), ODAgent, OilCheck ve OilBooster) konuşlandırdı ve bu araçları grubun zaten geniş olan özel kötü amaçlı yazılım cephaneliğine ekledi. ESET araştırmacıları şunları açıkladı: bir blog yazısı 14 Aralık’ta yayınlandı.
İndiricilerin diğer OilRig araçlarına göre çalışma şeklinin benzersiz özelliği, komuta ve kontrol iletişimi için Microsoft OneDrive, Microsoft Graph OneDrive API, Microsoft Graph Outlook API ve Microsoft Office EWS API dahil olmak üzere çeşitli meşru bulut hizmetlerini kullanmalarıdır (C2) Araştırmacılar, bunun ve veri hırsızlığının olduğunu söyledi.
Şu ana kadarki saldırı hedefleri arasında tamamı İsrail’de bulunan ve çoğu APT’nin önceki hedefleri olan bir sağlık kuruluşu, bir imalat şirketi, bir yerel hükümet kuruluşu ve kimliği belirlenemeyen birkaç kuruluş yer alıyor.
ESET araştırmacısı Adam Burgher ile birlikte kötü amaçlı yazılımı analiz eden ESET araştırmacısı Zuzana Hromcová, indiricilerin özellikle karmaşık olmadığını belirtti. Ancak grubun hedeflenen kuruluşlar için zorlu bir düşmana dönüşmesinin başka nedenleri de olduğunu söyledi.
Hromcová bir basın toplantısında şunları söyledi: “Yeni değişkenlerin sürekli geliştirilmesi ve test edilmesi, çeşitli bulut hizmetleri ve farklı programlama dilleri ile denemeler yapılması ve aynı hedeflerden tekrar tekrar taviz verme konusundaki kararlılık, OilRig’i dikkat edilmesi gereken bir grup haline getiriyor.” ifade.
OilRig, bu indiricileri yalnızca sınırlı sayıda hedefe karşı kullandı; bunların tümü, aylar önce grup tarafından kullanılan diğer araçlar tarafından ısrarla hedef alındı. Bulut hizmetlerinden yararlanan indiricilerin kullanılması, kötü amaçlı yazılımın normal ağ trafiği akışına daha kolay karışmasına olanak tanıyan bir kaçamak taktiğidir; ESET’e göre muhtemelen APT’nin bunları tekrar eden kurbanlara karşı kullanmasının nedeni budur.
OilRig APT: Gelişen, Kalıcı Bir Tehdit
OilRig’in 2014’ten bu yana aktif olduğu biliniyor ve öncelikle Orta Doğu’da faaliyet gösteriyor ve kimya, enerji, finans ve telekomünikasyon dahil ancak bunlarla sınırlı olmamak üzere çeşitli endüstrileri kapsayan bölgedeki kuruluşları hedefliyor.
Esas olarak siber casuslukla ilgilenen grup, son zamanlarda tedarik zinciri saldırısı BAE’de, ama bu sadece birçoğundan biri bağlantılı olduğu olaylar. Aslında geçen yıl OilRig’in çeşitli aktiviteler teşvik etti yaptırım OilRig’e sponsor olduğuna inanılan İran’ın istihbarat kolunun ABD hükümeti tarafından satın alınması.
ESET, indiriciler ile e-posta tabanlı C2 protokollerini (MrPerfectionManager ve PowerExchange arka kapıları) kullanan diğer OilRig araçları arasındaki benzerlik nedeniyle APT’yi İsrailli kuruluşlara yönelik tekrarlanan saldırıların faili olarak tanımladı.
Araştırmacılar, OilRig’in aynı saldırı düzenini birçok kez tekrarlayan bir alışkanlık yaratığı gibi göründüğünü belirtti. Örneğin, Haziran ve Ağustos 2022 arasında ESET, tamamı İsrail’deki yerel bir devlet kuruluşunun ağında yer alan OilBooster, SC5k v1 ve SC5k v2 indiricilerini ve Shark arka kapısını tespit etti.
Daha sonra ESET, yine OilRig’in önceki kurbanlarından biri olan İsrailli bir sağlık kuruluşunun ağında başka bir SC5k sürümü (v3) tespit etti. APT ayrıca ODAgent’ı daha önce hem SC5k hem de OilCheck’ten etkilenen İsrail’deki bir imalat şirketinin ağına da yerleştirdi.
Araştırmacılar, “OilRig aynı kuruluşları hedeflemekte ısrarcı ve güvenliği ihlal edilmiş ağlarda yerini korumaya kararlı” diye uyardı.
ESET, potansiyel hedeflerin en son saldırı dizisi tarafından tehlikeye girip girmediklerini belirlemelerine yardımcı olmak için blog gönderisine dosyalar, ağ etkinlikleri ve MITRE ATT&CK çerçevesini temel alan teknikler dahil olmak üzere geniş bir güvenlik ihlali göstergeleri (IoC) listesi ekledi.
OilRig’in Gizli Arka Kapı Kötü Amaçlı Yazılımının İçinde
Microsoft Visual C/C++ ile yazılan OilBooster dışında tüm indiriciler C++/.NET ile yazılmıştır. Hepsinin kendine ait ayrı işlevleri vardır ve bazı temel farklılıklarla davranırlar.
Aralarında ortak olan, birden fazla kurbana karşı kullanılabilecek OilRig operatörleriyle mesaj alışverişinde bulunmak için paylaşılan bir e-posta veya bulut depolama hesabının kullanılmasıdır. İndiriciler, operatörler tarafından hazırlanan komutları ve ek yükleri indirmek, ayrıca komut çıktısını ve hazırlanan dosyaları yüklemek için bu hesaba erişir.
Birkaç çeşidi bulunan SC5k, meşru bulut hizmetlerini kullanarak sahneye çıkan (Kasım 2021 gibi erken bir tarihte) indiricilerden ilkidir. Tüm varyantlar, ek yükleri ve komutları indirmenin yanı sıra veri yüklemenin bir yolu olarak paylaşılan bir Exchange posta hesabıyla etkileşim kurmak için Microsoft Office EWS API’sini kullanır.
Nisan 2022’de keşfedilen OilCheck, C2 iletişiminin her iki yönü için de paylaşılan bir e-posta hesabında oluşturulan taslak mesajları kullanıyor. Ancak SC5k’den farklı olarak OilCheck, paylaşılan bir Microsoft 365 Outlook e-posta hesabına erişmek için SOAP tabanlı Microsoft Office EWS API’sini değil, REST-Microsoft Graph API’sini kullanır.
Araştırmacılar, OilBooster’ın bir Microsoft 365 hesabına bağlanmak için Microsoft Graph API’sini de kullandığını, ancak OilCheck’ten farklı olarak bu API’yi, Outlook hesabı yerine C2 iletişimi ve sızma amacıyla saldırganlar tarafından kontrol edilen bir OneDrive hesabıyla etkileşimde bulunmak için kullandığını söyledi. OilBooster’ın yetenekleri arasında uzak sunucudan dosya indirmek, dosyaları ve kabuk komutlarını yürütmek ve sonuçları dışarı çıkarmak yer alır.
ODAgent, C2 iletişimi ve sızıntı için saldırgan tarafından kontrol edilen bir OneDrive hesabına erişmek için Microsoft Graph API’sini kullanıyor ve araştırmacılara göre OilBooster’ın öncüsü olduğuna inanılıyor.
“OilBooster’a benzer şekilde” diye yazdılar, “ODAgent, paylaşılan OneDrive hesabına tekrar tekrar bağlanır ve ek yükler ve arka kapı komutları elde etmek için kurbana özel klasörün içeriğini listeler.”