● OilRig, groupe APT (Advanced Persistant Threat) lié à l'Iran, a activement développé et utilisé une série d’outils de transfert (télé-chargeurs) avec une logique similaire durant l'année 2022. On en compte 3 nouveaux - ODAgent, OilCheck et OilBooster – et des versions plus récentes de SC5k.
● Les cibles, toutes situées en Israël, comprenaient une organisation du secteur de la santé, une entreprise manufacturière et une organisation gouvernementale locale. Toutes les cibles avaient déjà été affectées par plusieurs campagnes OilRig.
● Ces outils de transfert utilisent divers services cloud légitimes pour les communications de commande et de contrôle et l'exfiltration de données ; l’API Microsoft Graph OneDrive, l’API Microsoft Graph Outlook et l’API Microsoft Office EWS.
BRATISLAVA, MONTRÉAL, le 15 décembre 2023 — Des chercheurs d'ESET ont analysé une série croissante de nouveaux télé-chargeurs OilRig, que le groupe a utilisés dans plusieurs campagnes durant 2022 pour maintenir l'accès aux organisations cibles d’un intérêt particulier, toutes situées en Israël. Ils comprennent une organisation du secteur de la santé, une entreprise manufacturière et une organisation gouvernementale locale. OilRig est un groupe APT qui serait basé en Iran et ses opérations, tout comme ses dernières créations, ont pour but le cyber-espionnage. Les nouveaux outils de transfert légers – SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent et OilBooster – utilisent un stockage cloud légitime et des services de messagerie basés cloud pour les communications de commande et de contrôle (C&C) et l'exfiltration de données, à savoir Microsoft Graph OneDrive ou Outlook Application Programming Interfaces (API) et Microsoft Office Exchange Web Services API.
«Tout comme les autres outils d’OilRig, ces télé-chargeurs ne sont pas très sophistiqués. Cependant, le développement et les tests continus de nouvelles variantes, l'expérimentation de divers services cloud et différents langages de programmation, ainsi que la volonté de toujours compromettre les mêmes objectifs, font d'OilRig un groupe à surveiller », déclare Zuzana Hromcová, la chercheuse d’ESET qui a analysé le maliciel avec Adam Burgher, chercheur chez ESET.
ESET attribue SC5k (v1-v3), OilCheck, ODAgent et OilBooster à OilRig avec une grande certitude. Ceux-ci partagent des similitudes avec les portes dérobées MrPerfectionManager et PowerExchange – d'autres ajouts récents aux outils d'OilRig qui utilisent des protocoles C&C basés sur la messagerie. La différence est que SC5k, OilBooster, ODAgent et OilCheck utilisent des comptes de services cloud contrôlés par les attaquants plutôt que l'infrastructure interne de la victime.
ODAgent a été détecté dans le réseau d'une entreprise manufacturière en Israël. La même organisation avait déjà été affectée par SC5k, puis par un nouveau télé-chargeur, OilCheck, entre avril et juin 2022. SC5k et OilCheck ont des capacités similaires à ODAgent mais utilisent des services de messagerie basés cloud pour leurs communications C&C. Entre juin et août 2022, ESET a détecté les outils de transfert OilBooster, SC5k v1 et SC5k v2 et les portes dérobées Shark, tous dans le réseau d'une organisation gouvernementale locale en Israël. Plus tard, ESET a détecté une autre version de SC5k (v3) dans le réseau d'une organisation israélienne du secteur de la santé, elle aussi une victime précédente d'OilRig.
Selon la télémétrie d’ESET, OilRig n'a utilisé ces outils de transfert que contre un nombre limité de cibles et toutes avaient été ciblées de façon persistante des mois plus tôt par d'autres outils OilRig. Il est courant que les organisations accèdent aux ressources Office 365. Les télé-chargeurs basés cloud d'OilRig peuvent donc se fondre plus facilement dans le flux régulier du trafic réseau. Apparemment c’est la raison pour laquelle les attaquants ont choisi de déployer ces menaces sur un petit nombre d'utilisateurs particulièrement intéressants, des cibles déjà victimes à plusieurs reprises.
OilRig, également connu sous les noms d'APT34, Lyceum, Crambus ou Siamesekitten, est un groupe de cyber-espionnage actif, certainement depuis 2014, et dont on pense qu'il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs comme la chimie, l'énergie, la finance et les télécommunications.
Pour plus d'informations techniques sur les derniers outils de transfert d’OilRig, consultez le blog “OilRig’s persistent attacks using cloud service-powered downloaders” sur
www.welivesecurity.com. Suivez ESET Research sur ESET Research on Twitter (today known as X) pour les dernières nouvelles en matière de recherche.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/