Les organisations israéliennes ont été ciblées dans le cadre de deux campagnes différentes orchestrées par l’acteur étatique iranien connu sous le nom de Plate-forme pétrolière en 2021 et 2022.
Les campagnes, baptisées Outer Space et Juicy Mix, impliquaient l’utilisation de deux portes dérobées de première étape précédemment documentées, appelées Solar et Mango, qui ont été déployées pour collecter des informations sensibles à partir des principaux navigateurs et de Windows Credential Manager.
“Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées via des e-mails de spear phishing”, Zuzana Hromcová, chercheuse en sécurité chez ESET. dit dans une analyse de jeudi.
OilRig (alias APT34, Cobalt Gypsy, Hazel Sandstorm et Helix Kitten) est le nom attribué à un ensemble d’intrusions affilié au ministère iranien du renseignement et de la sécurité (Vevak). Actif depuis 2014, l’acteur menaçant a utilisé un large éventail d’outils à sa disposition pour procéder au vol d’informations.
Plus tôt en février, Trend Micro a découvert l’utilisation par OilRig d’une simple porte dérobée pour voler les informations d’identification des utilisateurs, soulignant sa « flexibilité pour écrire de nouveaux logiciels malveillants basés sur les environnements clients étudiés et les niveaux d’accès ».
Le groupe a également été observé en train de livrer une version mise à jour de SideTwist dans le cadre d’une attaque de phishing visant probablement des entreprises américaines.
Cela dit, l’utilisation du malware Mango avait déjà été soulignée par ESET et Microsoft en mai 2023, ce dernier l’attribuant à un cluster d’activité émergent qu’il suit sous le nom de Storm-0133.
La tempête-0133, également associée au Vevak, cible exclusivement les agences gouvernementales locales israéliennes et les entreprises des secteurs de la défense, de l’hébergement et de la santé, a déclaré le fabricant de Windows.
Les dernières découvertes de la société slovaque de cybersécurité établissent que le groupe continue de se concentrer sur Israël, en utilisant leurres de spear phishing pour inciter les cibles potentielles à installer le malware via des pièces jointes piégées.
Lors de la campagne Outer Space observée en 2021, OilRig a compromis un site de ressources humaines israélien et l’a ensuite utilisé comme serveur de commande et de contrôle (C2) pour Solar, une porte dérobée C#/.NET de base capable de télécharger et d’exécuter des fichiers et de collecter des informations. .
Solar agit également comme un moyen de déployer un téléchargeur nommé SampleCheck5000 (ou SC5k), qui utilise l’API Office Exchange Web Services (EWS) pour télécharger des outils supplémentaires à exécuter, ainsi qu’un utilitaire pour exfiltrer les données du navigateur Web Chrome mentionné. comme MKG.
“Une fois que SC5k se connecte au serveur Exchange distant, il récupère tous les e-mails du répertoire Brouillons, les trie par plus récent, ne conservant que les brouillons contenant des pièces jointes”, a déclaré Hromcová.
IA contre IA : exploiter les défenses de l’IA contre les risques liés à l’IA
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
“Il parcourt ensuite chaque brouillon de message avec une pièce jointe, à la recherche de pièces jointes JSON contenant des “données” dans le corps. Il extrait la valeur des données clés du fichier JSON, décode et déchiffre la valeur en base64 et appelle cmd.exe. pour exécuter la chaîne de ligne de commande résultante.”
Les résultats de l’exécution de la commande sont mis en scène et renvoyés aux opérateurs via un nouveau message électronique sur le serveur Exchange et enregistrés sous forme de brouillon.
La campagne Juicy Mix de 2022 impliquait l’utilisation de Mango, une version améliorée de Solar intégrant des capacités et des méthodes d’obscurcissement supplémentaires. Aux fins du C2, l’auteur de la menace a compromis un site Web légitime de portail d’emploi israélien.
“OilRig continue d’innover et de créer de nouveaux implants dotés de capacités de type porte dérobée, tout en trouvant de nouvelles façons d’exécuter des commandes sur des systèmes distants”, a déclaré Hromcová.
“Le groupe déploie un ensemble d’outils post-compromission personnalisés qui sont utilisés pour collecter les informations d’identification, les cookies et l’historique de navigation des principaux navigateurs et de Windows Credential Manager.”