Las organizaciones israelíes fueron atacadas como parte de dos campañas diferentes orquestadas por el actor Estado-nación iraní conocido como Plataforma petrolera en 2021 y 2022.
Las campañas, denominadas Outer Space y Juicy Mix, implicaron el uso de dos puertas traseras de primera etapa previamente documentadas, llamadas Solar y Mango, que se implementaron para recopilar información confidencial de los principales navegadores y del Administrador de credenciales de Windows.
«Ambas puertas traseras fueron implementadas por droppers de VBS, presumiblemente difundidos a través de correos electrónicos de phishing», dijo la investigadora de seguridad de ESET Zuzana Hromcová dicho en un análisis del jueves.
OilRig (también conocido como APT34, Cobalt Gypsy, Hazel Sandstorm y Helix Kitten) es el nombre asignado a un conjunto de intrusión afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Activo desde 2014, el actor de amenazas ha utilizado una amplia gama de herramientas a su disposición para llevar a cabo el robo de información.
A principios de febrero, Trend Micro descubrió el uso por parte de OilRig de una puerta trasera simple para robar las credenciales de los usuarios, destacando su «flexibilidad para escribir nuevo malware basado en entornos de clientes investigados y niveles de acceso».
También se ha observado que el grupo entregó una versión actualizada de SideTwist como parte de un ataque de phishing probablemente dirigido a empresas estadounidenses.
Dicho esto, tanto ESET como Microsoft destacaron previamente el uso de malware Mango en mayo de 2023, y este último lo atribuyó a un grupo de actividad emergente que rastrea con el nombre Storm-0133.
Storm-0133, también asociado con MOIS, apunta exclusivamente a agencias y empresas del gobierno local israelí que prestan servicios a los sectores de defensa, alojamiento y atención médica, dijo el fabricante de Windows.
Los últimos hallazgos de la firma eslovaca de ciberseguridad establecen el enfoque continuo del grupo en Israel, utilizando señuelos de phishing para engañar a objetivos potenciales para que instalen el malware mediante archivos adjuntos con trampas explosivas.
En la campaña del espacio exterior observada en 2021, OilRig comprometió un sitio de recursos humanos israelí y posteriormente lo utilizó como servidor de comando y control (C2) para Solar, una puerta trasera básica de C#/.NET capaz de descargar y ejecutar archivos y recopilar información. .
Solar también actúa como un vehículo para implementar un descargador llamado SampleCheck5000 (o SC5k), que utiliza la API de Office Exchange Web Services (EWS) para descargar herramientas adicionales para su ejecución, así como una utilidad para extraer datos del navegador web Chrome al que se hace referencia. como MKG.
«Una vez que SC5k inicia sesión en el servidor Exchange remoto, recupera todos los correos electrónicos en el directorio Borradores, los clasifica por los más recientes y conserva solo los borradores que tienen archivos adjuntos», dijo Hromcová.
IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados por la IA
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
«Luego itera sobre cada borrador de mensaje con un archivo adjunto, buscando archivos adjuntos JSON que contengan «datos» en el cuerpo. Extrae el valor de los datos clave en el archivo JSON, base64 decodifica y descifra el valor, y llama a cmd.exe para ejecutar la cadena de línea de comando resultante.»
Los resultados de la ejecución del comando se preparan y se envían a los operadores a través de un nuevo mensaje de correo electrónico en el servidor Exchange y se guardan como borrador.
La campaña Juicy Mix de 2022 implicó el uso de Mango, una versión mejorada de Solar que incorpora capacidades adicionales y métodos de ofuscación. Para fines C2, el actor de amenazas comprometió un sitio web legítimo de un portal de empleo israelí.
«OilRig continúa innovando y creando nuevos implantes con capacidades similares a las de una puerta trasera, mientras encuentra nuevas formas de ejecutar comandos en sistemas remotos», dijo Hromcová.
«El grupo implementa un conjunto de herramientas personalizadas posteriores al compromiso que se utilizan para recopilar credenciales, cookies e historial de navegación de los principales navegadores y del Administrador de credenciales de Windows».