伊朗APT OilRig网络攻击者一再瞄准以色列的关键基础设施

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

多产的伊朗高级持续性威胁组织 (APT) OilRig在 2022 年多次针对以色列的多个组织发动网络攻击，这些攻击利用一系列自定义下载器，使用合法的 Microsoft 云服务进行攻击者通信并窃取数据。

ESET 研究人员在 12 月 14 日发布的博客文章中透露，OilRig（又名 APT34、Helix Kitten、Cobalt Gypsym、Lyceum、Crambus 或 Siamesekitten）在攻击中部署了四个特定的新下载程序 - SampleCheck5000（SC5k v1-v3）、ODAgent、OilCheck 和 OilBooster - 这些都是在去年开发的，将这些工具添加到该组织原本就很庞大的自定义恶意软件库中。

研究人员表示，与其他 OilRig 工具相比，这些下载程序的工作方式的独特之处在于，它们使用各种合法的云服务（包括 Microsoft OneDrive、Microsoft Graph OneDrive API、Microsoft Graph Outlook API 和 Microsoft Office EWS API）进行命令和控制通信 (C2) 和数据泄露。

迄今为止的攻击目标包括一家医疗保健组织、一家制造公司、一个地方政府组织和其他几个未确定的组织，这些组织均位于以色列，其中大多数都是 APT 的先前目标。

ESET 研究员 Zuzana Hromcová 与 ESET 研究员 Adam Burgher 一起分析了该恶意软件，她指出，下载程序本身并不是特别复杂。但她表示，还有其他原因导致该组织正在发展成为目标组织的强大对手。

Hromcová 在新闻声明中表示：“不断开发和测试新的变种、尝试各种云服务和不同的编程语言，以及一遍又一遍地攻击相同目标，这些都使得 OilRig 成为一个值得警惕的组织。”

OilRig 仅针对有限数量的目标使用了这些下载程序，而这些目标几个月前都是该组织使用的其他工具持续攻击的目标。ESET 称，利用云服务的下载程序是一种规避策略，可让恶意软件更容易融入常规网络流量中 — 这可能是 APT 使用这些下载程序对付重复受害者的原因。

OilRig APT：不断演变的持续威胁

据悉，OilRig 自 2014 年以来一直活跃，主要在中东地区开展活动，目标是该地区涉及各种行业的组织，包括但不限于化工、能源、金融和电信。

该组织主要从事网络间谍活动，最近与阿联酋的供应链攻击有关，但这只是与其有关的众多事件之一。事实上，去年，OilRig 的各种活动促使美国政府对伊朗情报部门实施制裁，据信该部门是 OilRig 的赞助商。

ESET 通过下载程序与其他使用基于电子邮件的 C2 协议的 OilRig 工具（即 MrPerfectionManager 和 PowerExchange 后门）的相似性，将 APT 认定为对以色列组织进行反复攻击的实施者。

研究人员指出，OilRig 似乎是一种习惯性动物，多次重复相同的攻击模式。例如，在 2022 年 6 月至 8 月期间，ESET 在以色列当地政府组织的网络中检测到了 OilBooster、SC5k v1 和 SC5k v2 下载程序以及 Shark 后门。

随后，ESET 在以色列一家医疗机构的网络中又检测到了另一个 SC5k 版本 (v3)，该机构也是 OilRig 之前的受害者。该 APT 还在以色列一家制造公司的网络中部署了 ODAgent，该公司之前曾受到 SC5k 和 OilCheck 的影响。

研究人员警告说：“OilRig 坚持攻击相同的组织，并决心在受感染的网络中站稳脚跟。”

ESET 在博客文章中列出了大量的攻击指标 (IoC)，包括文件、网络活动以及基于 MITRE ATT＆CK 框架的技术，以帮助潜在目标确定他们是否会受到最新一连串攻击的攻击。

揭秘 OilRig 的隐秘后门恶意软件

除了 OilBooster 是用 Microsoft Visual C/C++ 编写的之外，所有下载程序都是用 C++/.NET 编写的。它们各自都有各自的功能，并且行为方式有一些关键差异。

它们的共同点是使用共享电子邮件或云存储帐户与 OilRig 操作员交换消息，这些消息可用于对付多个受害者。下载者访问此帐户以下载操作员准备的命令和其他有效载荷，以及上传命令输出和准备的文件。

SC5k 有多个变种，是第一个使用合法云服务出现的下载器（最早于 2021 年 11 月）。所有变种都使用 Microsoft Office EWS API 与共享 Exchange 邮件帐户进行交互，以此下载其他有效负载和命令以及上传数据。

2022 年 4 月发现的 OilCheck 也使用在共享电子邮件帐户中创建的草稿消息进行 C2 通信的双向通信。但是，与 SC5k 不同，OilCheck 使用 REST-Microsoft Graph API 访问共享的 Microsoft 365 Outlook 电子邮件帐户，而不是基于 SOAP 的 Microsoft Office EWS API。

研究人员表示，OilBooster 还使用 Microsoft Graph API 连接到 Microsoft 365 帐户，但与 OilCheck 不同，它使用此 API 与攻击者控制的 OneDrive 帐户进行交互，以进行 C2 通信和泄露，而不是 Outlook 帐户。OilBooster 的功能包括从远程服务器下载文件、执行文件和 shell 命令以及泄露结果。

据研究人员称，ODAgent 使用 Microsoft Graph API 访问攻击者控制的 OneDrive 帐户进行 C2 通信和泄露，被认为是 OilBooster 的前身。

他们写道：“与 OilBooster 类似，ODAgent 会反复连接共享的 OneDrive 帐户并列出受害者特定文件夹的内容，以获取额外的有效载荷和后门命令。”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗APT OilRig网络攻击者一再瞄准以色列的关键基础设施