Hacker-Gruppe mit Verbindung zu Iran attackiert Israel
Forscher des IT-Sicherheitsherstellers ESET haben eine Kampagne der Hacker-Gruppe (APT-Gruppe) „OilRig“ (auch bekannt als APT34, Lyceum, Crambus oder Siamesekitten) aufgedeckt, die seit 2022 lokale Regierungsorganisationen, Produktionsunternehmen und auch den Gesundheitssektor in Israel attackiert.
Die mutmaßlich aus Iran stammenden Kriminellen versuchen, in die Netzwerke der israelischen Organisationen einzudringen und sensible Daten zu finden und zu exfiltrieren. Dazu setzt OilRig eine Vielzahl an neuen Downloadern wie beispielsweise SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent und OilBooster ein. Ungewöhnlich ist der Verbreitungsweg: Die Hackergruppe verwendet legitime Cloud-Service-Anbieter für die Kommando- und Kontrollkommunikation (C&C) und die Datenexfiltration. Dazu gehören Microsoft Graph OneDrive, Outlook Application Programming Interfaces (APIs) und Microsoft Office Exchange Web Services API.
Die Downloader des OilRig-Toolsets, einschließlich SC5k und OilCheck, sind nicht besonders ausgereift. Laut der ESET Forscherin Zuzana Hromcová, die die Malware gemeinsam mit ESET Forscher Adam Burgher analysiert hat, ist OilRig eine Gruppe, vor der man sich in Acht nehmen sollte. Sie entwickeln kontinuierlich neue Varianten, experimentieren mit verschiedenen Cloud-Diensten und Programmiersprachen und versuchen ständig, ihre Ziele zu kompromittieren.
Gemäß ESET Telemetrie schränkte OilRig den Einsatz seiner Downloader auf eine geringe Anzahl von Zielen ein. Interessanterweise wurden diese bereits Monate zuvor von anderen OilRig-Tools angegriffen. Da es in Unternehmen üblich ist, auf Office 365-Ressourcen zuzugreifen, kann OilRig die mit Cloud-Diensten betriebenen Downloader leichter in den regulären Netzwerkverkehr integrieren.
Die Spur zur Hacker-Gruppe führt mit hoher Wahrscheinlichkeit zu OilRig
ESET führt SC5k (v1-v3), OilCheck, ODAgent und OilBooster mit hoher Wahrscheinlichkeit auf OilRig zurück. Diese Downloader weisen Ähnlichkeiten mit den Backdoors MrPerfectionManager und PowerExchange auf, die erst kürzlich dem OilRig-Toolset hinzugefügt wurden und E-Mail-basierte C&C-Protokolle verwenden. Der Unterschied besteht darin, dass SC5k, OilBooster, ODAgent und OilCheck nicht die interne Infrastruktur des Opfers nutzen, sondern von den Angreifern kontrollierte Cloud-Service-Konten.
Wiederholte Angriffe auf dieselben Ziele
Der ODAgent-Downloader wurde im Netzwerk eines Fertigungsunternehmens in Israel entdeckt. Interessanterweise war dasselbe Unternehmen zuvor von dem OilRig-Downloader SC5k und später von einem weiteren neuen Downloader, OilCheck, zwischen April und Juni 2022 betroffen. Obwohl sie ähnliche Funktionen wie ODAgent haben, nutzen sie Cloud-basierte E-Mail-Dienste für ihre C&C-Kommunikation. Im Jahr 2022 wiederholte sich dieses Muster mehrmals. Dabei wurden neue Downloader in den Netzwerken früherer OilRig-Ziele eingesetzt. Zwischen Juni und August 2022 wurden die Downloader OilBooster, SC5k v1 und SC5k v2 sowie die Backdoor Shark entdeckt. Diese waren alle im Netzwerk einer lokalen Regierungsorganisation in Israel installiert. Später entdeckte ESET eine weitere Version von SC5k (v3) im Netzwerk einer israelischen Gesundheitsorganisation, die ebenfalls ein früheres Opfer von OilRig war.