Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El grupo OilRig, patrocinado por el Estado iraní, implementa tres nuevos programas de descarga de malware
  • Tecnología

El grupo OilRig, patrocinado por el Estado iraní, implementa tres nuevos programas de descarga de malware

teknomers 14 de Aralık de 2023 (Last updated: 14 de Aralık de 2023) 4 minutes read
El grupo OilRig, patrocinado por el Estado iraní, implementa tres


14 de diciembre de 2023Sala de redacciónMalware/Ciberespionaje

El actor de amenazas patrocinado por el estado iraní conocido como Plataforma petrolera implementó tres descargadores de malware diferentes a lo largo de 2022 para mantener el acceso persistente a las organizaciones de víctimas ubicadas en Israel.

Los tres nuevos descargadores han sido denominados ODAgent, OilCheck y OilBooster por la empresa eslovaca de ciberseguridad ESET. Los ataques también implicaron el uso de una versión actualizada de un conocido descargador de OilRig denominado SampleCheck5000 (o SC5k).

“Estos descargadores ligeros […] se destacan por utilizar una de varias API legítimas de servicios en la nube para [command-and-control] comunicación y exfiltración de datos: las API de Microsoft Graph OneDrive o Outlook, y la API de servicios web de Microsoft Office Exchange (EWS),” los investigadores de seguridad Zuzana Hromcová y Adam Burgher dicho en un informe compartido con The Hacker News.

Al utilizar proveedores de servicios en la nube de renombre para la comunicación de comando y control, el objetivo es mezclarse con el tráfico de red auténtico y encubrir la infraestructura de ataque del grupo.

Algunos de los objetivos de la campaña incluyen una organización del sector de la salud, una empresa manufacturera y una organización gubernamental local, entre otros. Se dice que todas las víctimas habían sido atacadas previamente por el actor de amenazas.

PRÓXIMO SEMINARIO WEB

Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad

Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.

Únete ahora

El vector de acceso inicial exacto utilizado para comprometer los objetivos no está claro actualmente y no se sabe si los atacantes lograron mantener su punto de apoyo en las redes para implementar estos descargadores en varios momentos en 2022.

OilRig, también conocido como APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo de ciberespionaje iraní que se sabe que está activo desde al menos 2014 y utiliza una amplia gama de malware a su disposición para atacar entidades en Medio Oriente.

Grupo de plataformas petroleras patrocinado por el Estado iraní

Sólo este año, se ha observado que el equipo de hackers aprovecha novedosos malware como MrPerfectionManager, PowerExchange, Solar, Mango y Menorah.

Grupo de plataformas petroleras patrocinado por el Estado iraní

ODAgent, detectado por primera vez en febrero de 2022, es un descargador de C#/.NET que utiliza la API de Microsoft OneDrive para comunicaciones de comando y control (C2), lo que permite al actor de amenazas descargar y ejecutar cargas útiles y filtrar archivos preparados.

SampleCheck5000, por otro lado, está diseñado para interactuar con una cuenta de correo compartida de Microsoft Exchange para descargar y ejecutar herramientas OilRig adicionales utilizando la API de servicios web de Office Exchange (EWS).

OilBooster, al igual que ODAgent, utiliza la API de Microsoft OneDrive para C2, mientras que OilCheck adopta la misma técnica que SampleCheck5000 para extraer comandos incrustados en borradores de mensajes. Pero en lugar de utilizar la API de EWS, aprovecha la API de Microsoft Graph para las comunicaciones de red.

La seguridad cibernética

OilBooster también es similar a OilCheck en que emplea la API de Microsoft Graph para conectarse a una cuenta de Microsoft Office 365. Lo que es diferente esta vez es que la API se utiliza para interactuar con una cuenta OneDrive controlada por un actor en lugar de una cuenta de Outlook para recuperar comandos y cargas útiles de carpetas específicas de la víctima.

Estas herramientas también comparten similitudes con las puertas traseras MrPerfectionManager y PowerExchange cuando se trata de utilizar protocolos C2 basados ​​en correo electrónico para filtrar datos, aunque en el caso de este último, el servidor Exchange de la organización víctima se utiliza para enviar mensajes a la cuenta de correo electrónico del atacante.

“En todos los casos, quienes descargan utilizan una cuenta compartida (correo electrónico o almacenamiento en la nube) operada por OilRig para intercambiar mensajes con los operadores de OilRig; la misma cuenta suele ser compartida por varias víctimas”, explicaron los investigadores.

“Los descargadores acceden a esta cuenta para descargar comandos y cargas útiles adicionales preparadas por los operadores, y para cargar resultados de comandos y archivos preparados”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: AZ pierde ante el Legia y queda eliminado de la Conference League
Next: El uso de Yle Areena cambió

Related Stories

Para las guarderías, el Estado lanza una API que permite
  • Tecnología

Para las guarderías, el Estado lanza una API que permite a los padres calcular automáticamente la tarifa

teknomers 11 de Temmuz de 2026
OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto:
  • Tecnología

OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto: ¿qué futuro para los navegadores IA?

teknomers 11 de Temmuz de 2026
Scaleway (Iliad) compra al francés Qarnot, para un cloud más
  • Tecnología

Scaleway (Iliad) compra al francés Qarnot, para un cloud más verde y un reciclaje de la calor

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Cultura

«Quiero mostrar quién soy realmente»: después de «Stranger Things», Finn Wolfhard lanza un nuevo álbum

teknomers 11 de Temmuz de 2026
  • General

Donald Trump amenaza con « diezmarlos y destruirlos completamente » si Irán intenta asesinarlo

teknomers 11 de Temmuz de 2026
Para las guarderías, el Estado lanza una API que permite
  • Tecnología

Para las guarderías, el Estado lanza una API que permite a los padres calcular automáticamente la tarifa

teknomers 11 de Temmuz de 2026
Séméac. El camión Prévent’TIMM se instala para facilitar la detección
  • salud

Séméac. El camión Prévent’TIMM se instala para facilitar la detección de cánceres

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.