Hackergruppe mit Verbindung zu Iran attackiert Israel seit über einem Jahr

Hackergruppe mit Verbindung zu #Iran attackiert #Israel seit über einem Jahr

• »OilRig« fokussiert Gesundheitssektor, Produktionsunternehmen und lokale Regierungsorganisationen

Jena, PTS, 14. Dezember 2023

Forscher des #IT #Sicherheitsherstellers #ESET haben eine Kampagne der APT Gruppe »OilRig« (auch bekannt als »APT34«, »Lyceum«, »Crambus« oder »Siamesekitten«) aufgedeckt, die seit 2022 lokale Regierungsorganisationen, Produktionsunternehmen und auch den Gesundheitssektor in Israel attackiert. Die mutmaßlich aus Iran stammenden Kriminellen versuchen, in die Netzwerke der israelischen Organisationen einzudringen und sensible Daten zu finden und zu exfiltrieren. Dazu setzt »OilRig« eine Vielzahl an neuen Downloadern wie beispielsweise »SampleCheck5000« (»SC5k« Version 1 bis 3), »OilCheck«, »ODAgent« und »OilBooster« ein. Ungewöhnlich ist der Verbreitungsweg: Die #Hackergruppe verwendet legitime #Cloud Service Anbieter für die Kommando  und Kontrollkommunikation (C & C) und die Datenexfiltration. Dazu gehören Microsoft #Graph »OneDrive«, #Outlook Application Programming Interfaces (APIs) und #Microsoft Office #Exchange Web Services API.

Die Downloader des »OilRig« Toolsets, einschließlich »SC5k« und »OilCheck«, sind nicht besonders ausgereift. Laut der ESET Forscherin Zuzana Hromcová, die die Malware gemeinsam mit ESET Forscher Adam Burgher analysiert hat, ist »OilRig« eine Gruppe, vor der man sich in Acht nehmen sollte. Sie entwickeln kontinuierlich neue Varianten, experimentieren mit verschiedenen Cloud Diensten und Programmiersprachen und versuchen ständig, ihre Ziele zu kompromittieren.

Gemäß ESET #Telemetrie schränkte »OilRig« den Einsatz seiner Downloader auf eine geringe Anzahl von Zielen ein. Interessanterweise wurden diese bereits Monate zuvor von anderen »OilRig« Tools angegriffen. Da es in Unternehmen üblich ist, auf #Office 365 Ressourcen zuzugreifen, kann »OilRig« die mit Cloud Diensten betriebenen Downloader leichter in den regulären Netzwerkverkehr integrieren.

Die Spur führt mit hoher Wahrscheinlichkeit zu »OilRig«

ESET führt »SC5k« (Version 1 bis 3), »OilCheck«, »ODAgent« und »OilBooster« mit hoher Wahrscheinlichkeit auf »OilRig« zurück. Diese Downloader weisen Ähnlichkeiten mit den Backdoors MrPerfectionManager und PowerExchange auf, die erst kürzlich dem »OilRig« Toolset hinzugefügt wurden und E Mail basierte C & C Protokolle verwenden. Der Unterschied besteht darin, dass »SC5k«, »OilBooster«, »ODAgent« und »OilCheck« nicht die interne Infrastruktur des Opfers nutzen, sondern von den Angreifern kontrollierte Cloud Service Konten.

Wiederholte Angriffe auf dieselben Ziele

Der »ODAgent« Downloader wurde im Netzwerk eines Fertigungsunternehmens in Israel entdeckt. Interessanterweise war dasselbe Unternehmen zuvor von dem »OilRig« Downloader »SC5k« und später von einem weiteren neuen Downloader, »OilCheck«, zwischen April und Juni 2022 betroffen. Obwohl sie ähnliche Funktionen wie »ODAgent« haben, nutzen sie Cloud basierte E Mail Dienste für ihre C & C Kommunikation. Im Jahr 2022 wiederholte sich dieses Muster mehrmals. Dabei wurden neue Downloader in den Netzwerken früherer »OilRig« Ziele eingesetzt. Zwischen Juni und August 2022 wurden die Downloader »OilBooster«, »SC5k« Version 1 und »SC5k« Version 2 sowie die #Backdoor #Shark entdeckt. Diese waren alle im Netzwerk einer lokalen Regierungsorganisation in Israel installiert. Später entdeckte ESET eine weitere Version von »SC5k« (Version 3) im Netzwerk einer israelischen #Gesundheitsorganisation, die ebenfalls ein früheres Opfer von »OilRig« war.

Über »OilRig«

»OilRig«, auch bekannt als »APT34«, »Lyceum«, »Crambus« oder »Siamesekitten«, ist eine Cyberspionagegruppe, die seit mindestens 2014 aktiv ist. Ihr Sitz wird im #Iran vermutet. Die Gruppe zielt auf Regierungen und eine Vielzahl von Wirtschaftssektoren – darunter #Chemie, #Energie, #Finanzen und #Telekommunikation – im #Nahen #Osten ab.

Eine detaillierte Analyse haben die ESET Forscher auf dem Security Blog »welivesecurity.de« veröffentlicht.