Les chercheurs d'ESET ont analysé deux campagnes du groupe OilRig APT : Outer Space (2021) et Juicy Mix (2022). Ces deux campagnes de cyberespionnage ciblaient exclusivement des organisations israéliennes, ce qui correspond à l'orientation du groupe vers le Moyen-Orient, et utilisaient le même principe : OilRig a d'abord compromis un site Web légitime pour l'utiliser comme serveur C&C, puis a utilisé des droppers VBS pour fournir un code C#. /.NET à ses victimes, tout en déployant également une variété d'outils post-compromission principalement utilisés pour l'exfiltration de données sur les systèmes cibles.
Dans sa campagne Outer Space, OilRig a utilisé une simple porte dérobée C#/.NET jusqu'alors non documentée que nous avons nommée Solar, ainsi qu'un nouveau téléchargeur, SampleCheck5000 (ou SC5k), qui utilise l'API des services Web de Microsoft Office Exchange pour la communication C&C. Pour la campagne Juicy Mix, les acteurs malveillants ont amélioré Solar pour créer la porte dérobée Mango, qui possède des capacités et des méthodes d'obscurcissement supplémentaires. En plus de détecter l'ensemble d'outils malveillants, nous avons également informé le CERT israélien des sites Web compromis.
Points clés de cet article de blog :
- ESET a observé deux campagnes OilRig qui se sont déroulées en 2021 (Outer Space) et 2022 (Juicy Mix).
- Les opérateurs ont exclusivement ciblé des organisations israéliennes et compromis des sites Web israéliens légitimes afin de les utiliser dans leurs communications C&C.
- Ils ont utilisé une nouvelle porte dérobée de première étape C#/.NET, jusqu'alors non documentée, dans chaque campagne : Solar in Outer Space, puis son successeur Mango in Juicy Mix.
- Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées via des e-mails de spearphishing.
- Divers outils post-compromission ont été déployés dans les deux campagnes, notamment le téléchargeur SC5k qui utilise l'API des services Web de Microsoft Office Exchange pour la communication C&C, ainsi que plusieurs outils permettant de voler les données et les informations d'identification du navigateur depuis Windows Credential Manager.
OilRig, également connu sous le nom d'APT34, Lyceum ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014 et est communément cru être basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs d'activité, notamment la chimie, l'énergie, la finance et les télécommunications. OilRig a mené la campagne DNSpionage en 2018 ainsi que 2019, qui a ciblé des victimes au Liban et aux Émirats arabes unis. En 2019 et 2020, OilRig a poursuivi ses attaques avec le Passe dur campagne, qui a utilisé LinkedIn pour cibler les victimes du Moyen-Orient dans les secteurs de l’énergie et du gouvernement. En 2021, OilRig a mis à jour son DanBot porte dérobée et a commencé à déployer le Requin, Milan, et les portes dérobées Marlin, mentionnées dans le Émission T3 2021 du rapport sur les menaces ESET.
Dans cet article de blog, nous fournissons une analyse technique des portes dérobées Solar et Mango, du compte-gouttes VBS utilisé pour livrer Mango et des outils post-compromis déployés dans chaque campagne.
attribution
Le lien initial qui nous a permis de connecter la campagne Outer Space à OilRig est l'utilisation du même dumper de données Chrome personnalisé (suivi par les chercheurs d'ESET sous le nom de MKG) que dans le Campagne En mer. Nous avons observé que la porte dérobée Solar déployait exactement le même échantillon de MKG que dans Out to Sea sur le système de la cible, ainsi que deux autres variantes.
Outre le chevauchement des outils et du ciblage, nous avons également constaté de multiples similitudes entre la porte dérobée Solar et les portes dérobées utilisées dans Out to Sea, principalement liées au téléchargement et au téléchargement : Solar et Shark, une autre porte dérobée d'OilRig, utilisent des URI avec des schémas de téléchargement et de téléchargement simples. pour communiquer avec le serveur C&C, avec un « d » pour télécharger et un « u » pour télécharger ; De plus, le téléchargeur SC5k utilise des sous-répertoires de téléchargement et de téléchargement, tout comme les autres portes dérobées OilRig, à savoir ALMA, Shark, DanBot et Milan. Ces découvertes confirment une fois de plus que le coupable derrière l’espace extra-atmosphérique est bien OilRig.
Quant aux liens de la campagne Juicy Mix avec OilRig, outre le ciblage des organisations israéliennes – ce qui est typique de ce groupe d'espionnage – il existe des similitudes de code entre Mango, la porte dérobée utilisée dans cette campagne, et Solar. De plus, les deux portes dérobées ont été déployées par des droppers VBS avec la même technique d’obscurcissement de chaînes. Le choix des outils post-compromis utilisés dans Juicy Mix reflète également les campagnes précédentes d'OilRig.
Aperçu de la campagne Espace extra-atmosphérique
Nommé pour l'utilisation d'un schéma de dénomination basé sur l'astronomie dans ses noms de fonctions et ses tâches, Outer Space est une campagne OilRig de 2021. Dans cette campagne, le groupe a compromis un site de ressources humaines israélien et l'a ensuite utilisé comme serveur C&C pour son ancien site. porte dérobée C#/.NET non documentée, Solar. Solar est une simple porte dérobée avec des fonctionnalités de base telles que la lecture et l'écriture à partir du disque et la collecte d'informations.
Grâce à Solar, le groupe a ensuite déployé un nouveau téléchargeur SC5k, qui utilise l'API des services Web Office Exchange pour télécharger des outils supplémentaires à exécuter, comme indiqué dans REF _Ref142655526h Figure 1
. Afin d'exfiltrer les données du navigateur du système de la victime, OilRig a utilisé un dumper de données Chrome appelé MKG.
Aperçu de la campagne Juicy Mix
En 2022, OilRig a lancé une autre campagne ciblant les organisations israéliennes, cette fois avec un ensemble d’outils mis à jour. Nous avons nommé la campagne Juicy Mix pour l'utilisation d'une nouvelle porte dérobée OilRig, Mango (en fonction de son nom d'assembly interne et de son nom de fichier, Mangue.exe). Au cours de cette campagne, les auteurs de la menace ont compromis un portail d’emploi israélien légitime pour l’utiliser dans les communications C&C. Les outils malveillants du groupe ont ensuite été déployés contre un organisme de santé, également basé en Israël.
La porte dérobée de premier étage Mango est un successeur de Solar, également écrit en C#/.NET, avec des changements notables qui incluent des capacités d'exfiltration, l'utilisation d'API natives et l'ajout d'un code d'évasion de détection.
En plus de Mango, nous avons également détecté deux dumpers de données de navigateur non documentés utilisés pour voler des cookies, l'historique de navigation et les informations d'identification des navigateurs Chrome et Edge, ainsi qu'un voleur Windows Credential Manager, que nous attribuons tous à OilRig. Ces outils ont tous été utilisés contre la même cible que Mango, ainsi que contre d’autres organisations israéliennes compromises tout au long de 2021 et 2022. REF _Ref125475515h Figure 2
montre un aperçu de la façon dont les différents composants ont été utilisés dans la campagne Juicy Mix.
L'analyse technique
Dans cette section, nous fournissons une analyse technique des portes dérobées Solar et Mango et du téléchargeur SC5k, ainsi que d'autres outils déployés sur les systèmes ciblés dans ces campagnes.
Compte-gouttes VBS
Pour prendre pied sur le système de la cible, des droppers Visual Basic Script (VBS) ont été utilisés dans les deux campagnes, qui ont très probablement été propagées par des e-mails de spearphishing. Notre analyse ci-dessous se concentre sur le script VBS utilisé pour supprimer Mango (SHA-1 : 3699B67BF4E381847BF98528F8CE2B966231F01A); notez que le compte-gouttes de Solar est très similaire.
Le but du dropper est de fournir la porte dérobée Mango intégrée, de planifier une tâche de persistance et d'enregistrer la compromission auprès du serveur C&C. La porte dérobée intégrée est stockée sous la forme d'une série de sous-chaînes base64, qui sont concaténées et décodées en base64. Comme représenté sur la REF _Ref125477632h Figure 3
, le script utilise également une technique simple de désobscurcissement des chaînes, où les chaînes sont assemblées à l'aide d'opérations arithmétiques et du Chr la fonction.
En plus de cela, le compte-gouttes VBS de Mango ajoute un autre type d'obscurcissement de chaîne et de code pour configurer la persistance et s'enregistrer auprès du serveur C&C. Comme représenté sur la REF _Ref125479004h * FORMAT DE FUSION Figure 4
, pour désobscurcir certaines chaînes, le script remplace tous les caractères de l'ensemble #*+-_)(}{@$%^& avec 0, divise ensuite la chaîne en nombres à trois chiffres qui sont ensuite convertis en caractères ASCII à l'aide du Chr
fonction. Par exemple, la chaîne 116110101109117+99111$68+77{79$68}46-50108109120115}77 Se traduit par Msxml2.DOMDocument.
Une fois la porte dérobée intégrée au système, le compte-gouttes crée une tâche planifiée qui exécute Mango (ou Solar, dans l'autre version) toutes les 14 minutes. Enfin, le script envoie un nom codé en base64 de l'ordinateur compromis via une requête POST pour enregistrer la porte dérobée auprès de son serveur C&C.
Porte dérobée solaire
L'énergie solaire est la porte dérobée utilisée dans la campagne Outer Space d'OilRig. Possédant des fonctionnalités de base, cette porte dérobée peut être utilisée, entre autres, pour télécharger et exécuter des fichiers, et exfiltrer automatiquement les fichiers intermédiaires.
Nous avons choisi le nom Solar en fonction du nom de fichier utilisé par OilRig, Solaire.exe. C'est un nom approprié puisque la porte dérobée utilise un schéma de dénomination astronomique pour ses noms de fonctions et ses tâches utilisées dans tout le binaire (Mercury, Venus, Mars, Terreet Jupiter).
Solar commence l'exécution en effectuant les étapes indiquées dans REF _Ref98146919h * FORMAT DE FUSION Figure 5
.
La porte dérobée crée deux tâches, Terre
ainsi que Venus, qui s'exécute en mémoire. Il n'y a pas de fonction d'arrêt pour aucune des deux tâches, elles s'exécuteront donc indéfiniment. Terre
est programmé pour s'exécuter toutes les 30 secondes et Venus
est configuré pour s’exécuter toutes les 40 secondes.
Terre est la tâche principale, responsable de la majeure partie des fonctions de Solar. Il communique avec le serveur C&C grâce à la fonction MercureVers Soleil, qui envoie des informations de base sur le système et la version des logiciels malveillants au serveur C&C, puis gère la réponse du serveur. Terre envoie les informations suivantes au serveur C&C :
- La corde (@); toute la chaîne est cryptée.
- La corde 1.0.0.0, crypté (éventuellement un numéro de version).
- La corde 30000, chiffré (éventuellement l'exécution planifiée de Terre
Le cryptage et le déchiffrement sont implémentés dans des fonctions nommées JupiterE
ainsi que JupiterD, respectivement. Les deux appellent une fonction nommée JupiterX, qui implémente une boucle XOR comme indiqué dans REF _Ref98146962h Figure 6
.
La clé est dérivée d'une variable de chaîne globale codée en dur, 6sEj7*0B7#7Et un Nonce: dans ce cas, une chaîne hexadécimale aléatoire de 2 à 24 caractères. Suite au cryptage XOR, le codage standard base64 est appliqué.
Le serveur Web d'une société israélienne de ressources humaines, qu'OilRig a compromis à un moment donné avant de déployer Solar, a été utilisé comme serveur C&C :
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Avant d'être ajouté à l'URI, le nom occasionnel de chiffrement est chiffré et la valeur de la chaîne de requête initiale, rt, est réglé sur d ici, probablement pour « téléchargement ».
La dernière étape du MercureVers Soleil
La fonction est de traiter une réponse du serveur C&C. Pour ce faire, il récupère une sous-chaîne de la réponse, qui se trouve entre les caractères QQ@ ainsi que @kk. Cette réponse est une chaîne d'instructions séparées par des astérisques (*) qui est traité dans un tableau. Terre
exécute ensuite les commandes de porte dérobée, qui incluent le téléchargement de charges utiles supplémentaires depuis le serveur, la liste des fichiers sur le système de la victime et l'exécution d'exécutables spécifiques.
Le résultat de la commande est ensuite compressé par gzip à l'aide de la fonction Neptune
et chiffré avec la même clé de chiffrement et un nouveau nom occasionnel. Ensuite les résultats sont téléchargés sur le serveur C&C, ainsi :
http://organization.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
GuideMachine et les nouveaux nonce sont chiffrés avec le JupiterE
fonction, et ici la valeur de rt est fixé à u, probablement pour le « téléchargement ».
Venus, l'autre tâche planifiée, est utilisée pour l'exfiltration automatisée des données. Cette petite tâche copie le contenu des fichiers d'un répertoire (également nommé Venus) au serveur C&C. Ces fichiers sont probablement déposés ici par un autre outil OilRig, encore non identifié. Après avoir téléchargé un fichier, la tâche le supprime du disque.
Porte dérobée mangue
Pour sa campagne Juicy Mix, OilRig est passé de la porte dérobée Solar à Mango. Son flux de travail est similaire à celui de Solar et ses capacités se chevauchent, mais il existe néanmoins plusieurs changements notables :
- Utilisation de TLS pour les communications C&C.
- Utilisation d'API natives, plutôt que d'API .NET, pour exécuter des fichiers et des commandes shell.
- Bien qu’il ne soit pas activement utilisé, un code d’évasion de détection a été introduit.
- Prise en charge de l'exfiltration automatisée (Venus
- La prise en charge du mode journal a été supprimée et les noms de symboles ont été obscurcis.
Contrairement au schéma de dénomination de Solar sur le thème de l'astronomie, Mango obscurcit les noms de ses symboles, comme on peut le voir dans REF _Ref142592880h Figure 7
.
Outre l'obscurcissement du nom du symbole, Mango utilise également la méthode d'empilement de chaînes (comme indiqué dans REF _Ref142592892h Figure 8
REF _Ref141802299h
) pour masquer les chaînes, ce qui complique l'utilisation de méthodes de détection simples.
Semblable à Solar, la porte dérobée Mango commence par créer une tâche en mémoire, programmée pour s'exécuter indéfiniment toutes les 32 secondes. Cette tâche communique avec le serveur C&C et exécute des commandes de porte dérobée, similaires à celles de Solar. Terre
tâche. Alors que Solar crée également Venus, une tâche d'exfiltration automatisée, cette fonctionnalité a été remplacée dans Mango par une nouvelle commande de porte dérobée.
Dans la tâche principale, Mango génère d'abord un identifiant de victime, , à utiliser dans les communications C&C. L'ID est calculé comme un hachage MD5 de , formaté sous forme de chaîne hexadécimale.
Pour demander une commande de porte dérobée, Mango envoie ensuite la chaîne d@ @ | au serveur C&C http://www.darush.co[.]il/ads.asp – un portail d’emploi israélien légitime, probablement compromis par OilRig avant cette campagne. Nous avons informé l’organisation nationale israélienne CERT du compromis.
Le corps de la requête est construit comme suit :
- Les données à transmettre sont cryptées XOR à l'aide de la clé de cryptage Q&4g, puis codé en base64.
- Une chaîne pseudo-aléatoire de 3 à 14 caractères est générée à partir de cet alphabet (tel qu'il apparaît dans le code) : i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Les données cryptées sont insérées dans une position pseudo-aléatoire dans la chaîne générée, entre [@ ainsi que @] délimiteurs.
Pour communiquer avec son serveur C&C, Mango utilise le protocole TLS (Transport Layer Security), qui permet d'apporter une couche de cryptage supplémentaire.
De même, la commande de porte dérobée reçue du serveur C&C est cryptée XOR, codée en base64, puis placée entre [@ ainsi que @] dans le corps de la réponse HTTP. La commande elle-même est soit NCNT
(auquel cas aucune action n'est entreprise), ou une chaîne de plusieurs paramètres délimités par
@, comme détaillé dans REF _Ref125491491h lampe de table 1
, qui répertorie les commandes de porte dérobée de Mango. Noter que n'est pas répertorié dans le tableau, mais est utilisé dans la réponse au serveur C&C.
Tableau 1. Liste des commandes de porte dérobée de Mango
arg1 |
arg2 |
arg3 |
Action prise |
Valeur de retour |
|
1 ou chaîne vide |
+sp |
N/D |
Exécute la commande fichier/shell spécifiée (avec les arguments facultatifs), en utilisant le natif CreateProcess API importée via DllImporter. Si les arguments contiennent [s], il est remplacé par C: WindowsSystem32. |
Sortie de commande. |
|
+nu |
N/D |
Renvoie la chaîne de version du logiciel malveillant et l'URL C&C. |
|; dans ce cas: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N/D |
Énumère le contenu du répertoire spécifié (ou du répertoire de travail actuel). |
Annuaire de Pour chaque sous-répertoire :
Pour chaque dossier : DÉPOSER Directeur(s) Des dossiers) |
||
+jn |
N/D |
Télécharge le contenu du fichier sur le serveur C&C via une nouvelle requête HTTP POST formatée : u@ @ | @ @2@. |
Un des: · déposer[ ] est téléchargé sur le serveur. · fichier introuvable! · chemin de fichier vide ! |
||
2 |
Données codées en base64 |
Nom de fichier |
Vide les données spécifiées dans un fichier du répertoire de travail. |
fichier téléchargé dans le chemin[ ] |
Chaque commande de porte dérobée est gérée dans un nouveau thread, et leurs valeurs de retour sont ensuite codées en base64 et combinées avec d'autres métadonnées. Enfin, cette chaîne est envoyée au serveur C&C en utilisant le même protocole et la même méthode de cryptage que ceux décrits ci-dessus.
Technique d'évasion de détection inutilisée
Fait intéressant, nous avons trouvé un technique d'évasion de détection au sein de Mangue. La fonction responsable de l'exécution des fichiers et des commandes téléchargés depuis le serveur C&C prend un deuxième paramètre facultatif : un ID de processus. S'il est défini, Mango utilise alors le UpdateProcThreadAttribute
API pour définir le PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) attribut pour le processus spécifié à valoriser : PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), comme représenté sur la REF _Ref125480118h Figure 9
.
L’objectif de cette technique est d’empêcher les solutions de sécurité des points finaux de charger leurs hooks de code en mode utilisateur via une DLL au cours de ce processus. Bien que le paramètre n’ait pas été utilisé dans l’échantillon que nous avons analysé, il pourrait être activé dans les versions futures.
Version 1.1.1
Sans rapport avec la campagne Juicy Mix, nous avons découvert en juillet 2023 une nouvelle version de la porte dérobée Mango (SHA-1 : C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), téléchargé sur VirusTotal par plusieurs utilisateurs sous le nom Menorah.exe. La version interne de cet exemple est passée de 1.0.0 à 1.1.1, mais le seul changement notable est l'utilisation d'un serveur C&C différent, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Parallèlement à cette version, nous avons également découvert un document Microsoft Word (SHA-1 : 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) avec une macro malveillante qui supprime la porte dérobée. REF _Ref143162004h Figure 10
affiche le faux message d'avertissement, incitant l'utilisateur à activer les macros pour le document, et le contenu leurre qui s'affiche ensuite, pendant que le code malveillant s'exécute en arrière-plan.
Figure 10. Document Microsoft Word avec une macro malveillante qui supprime Mango v1.1.1
Outils post-compromis
Dans cette section, nous passons en revue une sélection d'outils post-compromis utilisés dans les campagnes Outer Space et Juicy Mix d'OilRig, visant à télécharger et à exécuter des charges utiles supplémentaires et à voler des données sur les systèmes compromis.
Téléchargeur SampleCheck5000 (SC5k)
SampleCheck5000 (ou SC5k) est un téléchargeur utilisé pour télécharger et exécuter des outils OilRig supplémentaires, notamment pour l'utilisation de l'API des services Web de Microsoft Office Exchange pour la communication C&C : les attaquants créent des brouillons de messages dans ce compte de messagerie et y cachent les commandes de porte dérobée. Par la suite, le téléchargeur se connecte au même compte et analyse les brouillons pour récupérer les commandes et les charges utiles à exécuter.
SC5k utilise des valeurs prédéfinies (URL Microsoft Exchange, adresse e-mail et mot de passe) pour se connecter au serveur Exchange distant, mais il prend également en charge l'option permettant de remplacer ces valeurs à l'aide d'un fichier de configuration dans le répertoire de travail actuel nommé paramètre.key. Nous avons choisi le nom SampleCheck5000 en fonction de l'une des adresses e-mail utilisées par l'outil dans la campagne Outer Space.
Une fois que SC5k se connecte au serveur Exchange distant, il récupère tous les e-mails du Brouillons
répertoire, les trie par les plus récents, en ne conservant que les brouillons contenant des pièces jointes. Il parcourt ensuite chaque brouillon de message contenant une pièce jointe, à la recherche des pièces jointes JSON contenant "Les données" dans le corps. Il extrait la valeur de la clé données dans le fichier JSON, base64 décode et déchiffre la valeur, et appelle cmd.exe pour exécuter la chaîne de ligne de commande résultante. SC5k enregistre ensuite la sortie du cmd.exe
exécution sur une variable locale.
Comme étape suivante de la boucle, le téléchargeur rapporte les résultats aux opérateurs d'OilRig en créant un nouveau message électronique sur le serveur Exchange et en l'enregistrant en tant que brouillon (pas d'envoi), comme indiqué dans RÉF _Réf98147102
h * FORMAT DE FUSION Figure 11
. Une technique similaire est utilisée pour exfiltrer des fichiers d'un dossier intermédiaire local. En tant que dernière étape de la boucle, SC5k enregistre également le résultat de la commande dans un format crypté et compressé sur le disque.
Videurs de données du navigateur
Il est caractéristique des opérateurs d'OilRig d'utiliser des dumpers de données de navigateur dans leurs activités post-compromise. Nous avons découvert deux nouveaux voleurs de données de navigateur parmi les outils post-compromis déployés dans la campagne Juicy Mix aux côtés de la porte dérobée Mango. Ils vident les données volées du navigateur dans le % TEMP% répertoire dans des fichiers nommés Date de coupe
ainsi que Mise à jour
(d'où nos noms pour eux : CDumper et EDumper).
Les deux outils sont des voleurs de données de navigateur C#/.NET, collectant les cookies, l'historique de navigation et les informations d'identification des navigateurs Chrome (CDumper) et Edge (EDumper). Nous concentrons notre analyse sur CDumper, puisque les deux voleurs sont pratiquement identiques, à l'exception de certaines constantes.
Une fois exécuté, CDumper crée une liste d'utilisateurs sur lesquels Google Chrome est installé. Lors de l'exécution, le voleur se connecte au Chrome SQLite Cookies, HISTOIRE
ainsi que Données de connexion bases de données sous %APPDATA%LocalGoogleChromeDonnées utilisateur, et collecte les données du navigateur, y compris les URL visitées et les connexions enregistrées, à l'aide de requêtes SQL.
Les valeurs des cookies sont ensuite déchiffrées et toutes les informations collectées sont ajoutées à un fichier journal nommé C : Utilisateurs AppDataLocalTempCupdate, en texte clair. Cette fonctionnalité est implémentée dans les fonctions CDumper nommées CookieGrab
(voir REF _Ref126168131h Figure 12
), HistoireGrab, ainsi que Saisir le mot de passe. Notez qu'aucun mécanisme d'exfiltration n'est implémenté dans CDumper, mais Mango peut exfiltrer les fichiers sélectionnés via une commande de porte dérobée.
Dans l’espace extra-atmosphérique et dans le passé À la mer campagne, OilRig a utilisé un dumper de données Chrome C/C++ appelé MKG. Comme CDumper et EDumper, MKG a également pu voler les noms d'utilisateur et les mots de passe, l'historique de navigation et les cookies du navigateur. Ce dumper de données Chrome est généralement déployé dans les emplacements de fichiers suivants (le premier emplacement étant le plus courant) :
- %USERS%publicprogramsvmwaredir mkc.exe
- % UTILISATEURS% PublicM64.exe
Voleur de Windows Credential Manager
Outre les outils de dumping des données du navigateur, OilRig a également utilisé un voleur Windows Credential Manager dans la campagne Juicy Mix. Cet outil vole les informations d'identification de Windows Credential Manager et, comme CDumper et EDumper, les stocke dans le % TEMP% répertoire – cette fois dans un fichier nommé Mise à jour
(d'où le nom IDumper). Contrairement à CDumper et EDumper, IDumper est implémenté en tant que script PowerShell.
Comme pour les outils de dumper du navigateur, il n'est pas rare qu'OilRig collecte les informations d'identification du Windows Credential Manager. Auparavant, les opérateurs d'OilRig étaient observés à l'aide de VALUEVAULT, un Disponible publiquement, Outil de vol d'informations d'identification compilé par Go (voir le Campagne HardPass 2019 et Campagne 2020), dans le même but.
Conclusion
OilRig continue d'innover et de créer de nouveaux implants dotés de capacités de type porte dérobée, tout en trouvant de nouvelles façons d'exécuter des commandes sur des systèmes distants. Le groupe a amélioré sa porte dérobée C#/.NET Solar de la campagne Outer Space pour créer une nouvelle porte dérobée nommée Mango pour la campagne Juicy Mix. Le groupe déploie un ensemble d'outils personnalisés post-compromission qui sont utilisés pour collecter les informations d'identification, les cookies et l'historique de navigation des principaux navigateurs et de Windows Credential Manager. Malgré ces innovations, OilRig continue également de s'appuyer sur des moyens établis pour obtenir les données des utilisateurs.
Pour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à menaceintel@eset.com.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .
IoCs
Fichiers
SHA-1 |
Nom de fichier |
Nom de détection ESET |
Description |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MonCV.doc |
VBA/OilRig.C |
Document contenant une macro malveillante supprimant Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Compte-gouttes VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solaire.exe |
MSIL/OilRig.E |
Porte dérobée solaire. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mangue.exe |
MSIL/OilRig.E |
Porte dérobée Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Porte dérobée Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Dumper de données Edge. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Videur de données Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Videur du gestionnaire d'informations d'identification Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Videur de données Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Videur de données Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Videur de données Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Téléchargeur SC5k (version 32 bits). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Téléchargeur SC5k (version 64 bits). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
noeud.exe |
MSIL/OilRig.D |
Téléchargeur SC5k (version 64 bits). |
Réseau
IP |
Domaine |
Fournisseur d'hébergement |
Vu la première fois |
Détails |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N/D |
Techniques d'ATT&CK D'ONGLET
Ce tableau a été construit avec Version 13 du cadre MITRE ATT&CK.
Tactique |
ID |
Nom |
Description |
Développement des ressources |
Infrastructure de compromis : serveur |
Dans les campagnes Outer Space et Juicy Mix, OilRig a compromis des sites Web légitimes pour mettre en scène des outils malveillants et pour les communications C&C. |
|
Développer des capacités : logiciels malveillants |
OilRig a développé des portes dérobées personnalisées (Solar et Mango), un téléchargeur (SC5k) et un ensemble d'outils de vol d'informations d'identification à utiliser dans ses opérations. |
||
Fonctionnalités d'étape : télécharger des logiciels malveillants |
OilRig a téléchargé des composants malveillants sur ses serveurs C&C et stocké des fichiers et des commandes prédéfinis dans le Brouillons répertoire de messagerie d'un compte Office 365 pour SC5k à télécharger et à exécuter. |
||
Fonctionnalités de scène : outil de téléchargement |
OilRig a téléchargé des outils malveillants sur ses serveurs C&C et stocké des fichiers prédéfinis dans le Brouillons répertoire de messagerie d'un compte Office 365 pour SC5k à télécharger et à exécuter. |
||
Accès initial |
Hameçonnage : pièce jointe de harponnage |
OilRig a probablement distribué ses campagnes Outer Space et Juicy Mix via des e-mails de phishing avec leurs compte-gouttes VBS joints. |
|
Internationaux |
Tâche/Tâche planifiée : Tâche planifiée |
Les outils IDumper, EDumper et CDumper d'OilRig utilisent des tâches planifiées nommées c'est à dire, éd , ainsi que cu pour s'exécuter dans le contexte d'autres utilisateurs. Solar et Mango utilisent une tâche C#/.NET sur une minuterie pour exécuter de manière itérative leurs fonctions principales. |
|
Interpréteur de commandes et de scripts : PowerShell |
L'outil IDumper d'OilRig utilise PowerShell pour l'exécution. |
||
Interpréteur de commandes et de scripts : Shell de commandes Windows |
Utilisation de OilRig's Solar, SC5k, IDumper, EDumper et CDumper cmd.exe pour exécuter des tâches sur le système. |
||
Interpréteur de commandes et de scripts : Visual Basic |
OilRig utilise un VBScript malveillant pour fournir et conserver ses portes dérobées Solar et Mango. |
||
API native |
La porte dérobée Mango d'OilRig utilise le CreateProcess API Windows pour l'exécution. |
||
Persistence |
Tâche/Tâche planifiée : Tâche planifiée |
Le compte-gouttes VBS d'OilRig planifie une tâche nommée Tâche de rappel pour établir la persistance de la porte dérobée Mango. |
|
Évasion défensive |
Masquage : correspond à un nom ou à un emplacement légitime |
OilRig utilise des noms de fichiers légitimes ou inoffensifs pour ses logiciels malveillants afin de se déguiser des défenseurs et des logiciels de sécurité. |
|
Fichiers ou informations obscurcis : emballage du logiciel |
OilRig a utilisé Packageur de scripts SAPIEN ainsi que Obfuscateur SmartAssembly pour obscurcir son outil IDumper. |
||
Fichiers ou informations obscurcis : charges utiles intégrées |
Les droppers VBS d'OilRig contiennent des charges utiles malveillantes intégrées sous la forme d'une série de sous-chaînes base64. |
||
Mascarade : Tâche ou service de mascarade |
Afin de paraître légitime, le compte-gouttes VBS de Mango planifie une tâche avec la description Démarrer le bloc-notes à une certaine heure. |
||
Suppression de l'indicateur : Effacer la persistance |
Les outils post-compromis d'OilRig suppriment leurs tâches planifiées après une certaine période. |
||
Désobscurcir/décoder des fichiers ou des informations |
OilRig utilise plusieurs méthodes d'obscurcissement pour protéger ses chaînes et ses charges utiles intégrées. |
||
Renverser les contrôles de confiance |
SC5k utilise Office 365, généralement un tiers de confiance et souvent négligé par les défenseurs, comme site de téléchargement. |
||
Altérer les défenses |
La porte dérobée Mango d'OilRig a une capacité (encore) inutilisée pour empêcher les solutions de sécurité des points finaux de charger leur code en mode utilisateur dans des processus spécifiques. |
||
Accès aux informations d'identification |
Informations d'identification des magasins de mots de passe : informations d'identification des navigateurs Web |
Les outils personnalisés d'OilRig, MKG, CDumper et EDumper, peuvent obtenir des informations d'identification, des cookies et un historique de navigation à partir des navigateurs Chrome et Edge. |
|
Informations d'identification des magasins de mots de passe : Windows Credential Manager |
L'outil de dumping d'informations d'identification personnalisé d'OilRig, IDumper, peut voler les informations d'identification du gestionnaire d'informations d'identification Windows. |
||
Découverte |
Découverte des informations système |
Mango obtient le nom de l'ordinateur compromis. |
|
Découverte de fichiers et de répertoires |
Mango a une commande pour énumérer le contenu d'un répertoire spécifié. |
||
Propriétaire du système/Découverte des utilisateurs |
Mango obtient le nom d'utilisateur de la victime. |
||
Découverte de compte : compte local |
Les outils EDumper, CDumper et IDumper d'OilRig peuvent énumérer tous les comptes d'utilisateurs sur l'hôte compromis. |
||
Découverte des informations du navigateur |
MKG supprime l'historique et les favoris de Chrome. |
||
Commander et contrôler |
Protocole de couche d'application : protocoles Web |
Mango utilise HTTP dans les communications C&C. |
|
Transfert d'outil d'entrée |
Mango a la capacité de télécharger des fichiers supplémentaires depuis le serveur C&C pour une exécution ultérieure. |
||
Obfuscation des données |
Solar et SC5k utilisent une méthode simple de cryptage XOR ainsi que la compression gzip pour masquer les données au repos et en transit. |
||
Service Web : communication bidirectionnelle |
SC5k utilise Office 365 pour télécharger et télécharger des fichiers vers le Brouillons répertoire dans un compte de messagerie légitime. |
||
Codage des données : Codage standard |
Solar, Mango et MKG base64 décodent les données avant de les envoyer au serveur C&C. |
||
Canal crypté : cryptographie symétrique |
Mango utilise un chiffrement XOR avec la clé Q&4g pour chiffrer les données dans la communication C&C. |
||
Canal crypté : cryptographie asymétrique |
Mango utilise TLS pour la communication C&C. |
||
exfiltration |
Exfiltration sur le canal C2 |
Mango, Solar et SC5k utilisent leurs canaux C&C pour l'exfiltration. |
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/