L’acteur menaçant parrainé par l’État iranien connu sous le nom de Plate-forme pétrolière a déployé trois logiciels malveillants de téléchargement différents tout au long de 2022 pour maintenir un accès persistant aux organisations victimes situées en Israël.
Les trois nouveaux téléchargeurs ont été nommés ODAgent, OilCheck et OilBooster par la société slovaque de cybersécurité ESET. Les attaques impliquaient également l’utilisation d’une version mise à jour d’un téléchargeur OilRig connu baptisé SampleCheck5000 (ou SC5k).
« Ces téléchargeurs légers […] se distinguent par l’utilisation de l’une des nombreuses API de service cloud légitimes pour [command-and-control] communication et exfiltration de données : les API Microsoft Graph OneDrive ou Outlook et l’API Microsoft Office Exchange Web Services (EWS), » chercheurs en sécurité Zuzana Hromcová et Adam Burgher dit dans un rapport partagé avec The Hacker News.
En faisant appel à des fournisseurs de services cloud bien connus pour la communication de commande et de contrôle, l’objectif est de se fondre dans le trafic réseau authentique et de dissimuler l’infrastructure d’attaque du groupe.
Certaines des cibles de la campagne comprennent, entre autres, une organisation du secteur de la santé, une entreprise manufacturière et une organisation gouvernementale locale. Toutes les victimes auraient déjà été ciblées par l’acteur menaçant.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Le vecteur d’accès initial exact utilisé pour compromettre les cibles n’est actuellement pas clair et on ne sait pas si les attaquants ont réussi à conserver leur pied dans les réseaux afin de déployer ces téléchargeurs à différents moments en 2022.
OilRig, également connu sous les noms d’APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anciennement EUROPIUM) et Helix Kitten, est un groupe de cyberespionnage iranien connu pour être actif depuis au moins 2014, utilisant un large éventail de logiciels malveillants à sa disposition pour cibler entités au Moyen-Orient.
Rien que cette année, l’équipe de hackers a été observée en train d’exploiter de nouveaux logiciels malveillants tels que MrPerfectionManager, PowerExchange, Solar, Mango et Menorah.
ODAgent, détecté pour la première fois en février 2022, est un téléchargeur C#/.NET qui utilise l’API Microsoft OneDrive pour les communications de commande et de contrôle (C2), permettant à l’acteur malveillant de télécharger et d’exécuter des charges utiles et d’exfiltrer des fichiers intermédiaires.
SampleCheck5000, quant à lui, est conçu pour interagir avec un compte de messagerie Microsoft Exchange partagé afin de télécharger et d’exécuter des outils OilRig supplémentaires à l’aide de l’API Office Exchange Web Services (EWS).
OilBooster, de la même manière qu’ODAgent, utilise l’API Microsoft OneDrive pour C2, tandis qu’OilCheck adopte la même technique que SampleCheck5000 pour extraire les commandes intégrées dans les brouillons de messages. Mais au lieu d’utiliser l’API EWS, il exploite l’API Microsoft Graph pour les communications réseau.
OilBooster est également similaire à OilCheck dans la mesure où il utilise l’API Microsoft Graph pour se connecter à un compte Microsoft Office 365. Ce qui est différent cette fois-ci, c’est que l’API est utilisée pour interagir avec un compte OneDrive contrôlé par un acteur, par opposition à un compte Outlook, afin de récupérer des commandes et des charges utiles à partir de dossiers spécifiques à la victime.
Ces outils partagent également des similitudes avec les portes dérobées MrPerfectionManager et PowerExchange lorsqu’il s’agit d’utiliser des protocoles de messagerie C2 pour exfiltrer des données, bien que dans le cas de ces dernières, le serveur Exchange de l’organisation victime soit utilisé pour envoyer des messages au compte de messagerie de l’attaquant.
« Dans tous les cas, les téléchargeurs utilisent un compte partagé (e-mail ou stockage cloud) géré par OilRig pour échanger des messages avec les opérateurs d’OilRig ; le même compte est généralement partagé par plusieurs victimes », ont expliqué les chercheurs.
« Les téléchargeurs accèdent à ce compte pour télécharger des commandes et des charges utiles supplémentaires préparées par les opérateurs, ainsi que pour télécharger le résultat des commandes et les fichiers préparés. »