El actor de amenazas patrocinado por el estado iraní conocido como Plataforma petrolera implementó tres descargadores de malware diferentes a lo largo de 2022 para mantener el acceso persistente a las organizaciones de víctimas ubicadas en Israel.
Los tres nuevos descargadores han sido denominados ODAgent, OilCheck y OilBooster por la empresa eslovaca de ciberseguridad ESET. Los ataques también implicaron el uso de una versión actualizada de un conocido descargador de OilRig denominado SampleCheck5000 (o SC5k).
«Estos descargadores ligeros […] se destacan por utilizar una de varias API legítimas de servicios en la nube para [command-and-control] comunicación y exfiltración de datos: las API de Microsoft Graph OneDrive o Outlook, y la API de servicios web de Microsoft Office Exchange (EWS),» los investigadores de seguridad Zuzana Hromcová y Adam Burgher dicho en un informe compartido con The Hacker News.
Al utilizar proveedores de servicios en la nube de renombre para la comunicación de comando y control, el objetivo es mezclarse con el tráfico de red auténtico y encubrir la infraestructura de ataque del grupo.
Algunos de los objetivos de la campaña incluyen una organización del sector de la salud, una empresa manufacturera y una organización gubernamental local, entre otros. Se dice que todas las víctimas habían sido atacadas previamente por el actor de amenazas.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
El vector de acceso inicial exacto utilizado para comprometer los objetivos no está claro actualmente y no se sabe si los atacantes lograron mantener su punto de apoyo en las redes para implementar estos descargadores en varios momentos en 2022.
OilRig, también conocido como APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo de ciberespionaje iraní que se sabe que está activo desde al menos 2014 y utiliza una amplia gama de malware a su disposición para atacar entidades en Medio Oriente.
Sólo este año, se ha observado que el equipo de hackers aprovecha novedosos malware como MrPerfectionManager, PowerExchange, Solar, Mango y Menorah.
ODAgent, detectado por primera vez en febrero de 2022, es un descargador de C#/.NET que utiliza la API de Microsoft OneDrive para comunicaciones de comando y control (C2), lo que permite al actor de amenazas descargar y ejecutar cargas útiles y filtrar archivos preparados.
SampleCheck5000, por otro lado, está diseñado para interactuar con una cuenta de correo compartida de Microsoft Exchange para descargar y ejecutar herramientas OilRig adicionales utilizando la API de servicios web de Office Exchange (EWS).
OilBooster, al igual que ODAgent, utiliza la API de Microsoft OneDrive para C2, mientras que OilCheck adopta la misma técnica que SampleCheck5000 para extraer comandos incrustados en borradores de mensajes. Pero en lugar de utilizar la API de EWS, aprovecha la API de Microsoft Graph para las comunicaciones de red.
OilBooster también es similar a OilCheck en que emplea la API de Microsoft Graph para conectarse a una cuenta de Microsoft Office 365. Lo que es diferente esta vez es que la API se utiliza para interactuar con una cuenta OneDrive controlada por un actor en lugar de una cuenta de Outlook para recuperar comandos y cargas útiles de carpetas específicas de la víctima.
Estas herramientas también comparten similitudes con las puertas traseras MrPerfectionManager y PowerExchange cuando se trata de utilizar protocolos C2 basados en correo electrónico para filtrar datos, aunque en el caso de este último, el servidor Exchange de la organización víctima se utiliza para enviar mensajes a la cuenta de correo electrónico del atacante.
«En todos los casos, quienes descargan utilizan una cuenta compartida (correo electrónico o almacenamiento en la nube) operada por OilRig para intercambiar mensajes con los operadores de OilRig; la misma cuenta suele ser compartida por varias víctimas», explicaron los investigadores.
«Los descargadores acceden a esta cuenta para descargar comandos y cargas útiles adicionales preparadas por los operadores, y para cargar resultados de comandos y archivos preparados».