Les chercheurs d’ESET ont analysé deux campagnes du groupe APT OilRig aligné sur l’Iran : Outer Space menée en 2021 et Juicy Mix débutée à partir de 2022.
Ces deux campagnes de cyber-espionnage visaient exclusivement des organisations israéliennes, ce qui est conforme à l’habitude du groupe qui cible le Moyen-Orient. Ces deux campagnes utilisaient le même mode opératoire : OilRig a tout d’abord compromis un site Web légitime pour l’utiliser comme serveur C&C, puis a distribué des portes dérobées aux victimes. S’en est suivi le déploiement d’une grande variété d’outils post-compromission, principalement utilisés pour l’exfiltration de données. Ces outils ont été utilisés pour collecter des informations d’identification à partir du Gestionnaire de mots de passe et d’identification Windows ainsi que des principaux navigateurs, comprenant des informations d’identification, des cookies et l’historique de navigation.
Dans sa campagne Outer Space, OilRig a utilisé une porte dérobée C#/.NET simple, non documentée auparavant, ESET Research l’a nommé Solar, ainsi qu’un nouveau téléchargeur, SampleCheck5000 (ou SC5k), qui utilise l’API Microsoft Office Exchange Web Services pour sa communication avec le C&C. Pour la campagne Juicy Mix, les acteurs de la menace ont amélioré Solar pour créer la porte dérobée Mango, qui possède des capacités supplémentaires et des méthodes d’obscurcissement. Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées via des e-mails de spearphishing. En plus de détecter l’ensemble d’outils malveillants, ESET a également informé le CERT israélien de la liste des sites Web compromis.
La porte dérobée SOLAR possède des fonctionnalités de basique et peut être utilisée, entre autres, pour télécharger et exécuter des fichiers tout comme exfiltrer automatiquement des fichiers. Le serveur Web d’une société israélienne, dont le secteur d’activité est la gestion des ressources humaines, a été compromis avant de déployer Solar, il a été utilisé comme serveur C&C.
Pour sa campagne Juicy Mix, OilRig est passé de la porte dérobée Solar à Mango, apportant quelques changements techniques notables. ESET a identifié une technique d’évasion de détection inutilisée dans Mango. « L’objectif de cette technique est d’empêcher les solutions de sécurité des terminaux de charger leur code en mode utilisateur via une DLL. Bien que le paramètre n’ait pas été utilisé dans l’échantillon que nous avons analysé, il pourrait être activé dans les versions futures », explique Zuzana Hromcová, chercheuse chez ESET, qui a co-analysé les deux campagnes d’OilRig.
OilRig, également connu sous le nom d’APT34, Lyceum ou Siamesekitten, est un groupe de cyber-espionnage actif depuis au moins 2014 et dont on pense généralement qu’il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs verticaux, notamment la chimie, l’énergie, la finance et les télécommunications.