Cybersecurity: l'APT OilRig all'attacco delle infrastrutture israeliane. L'analisi di ESET
Il gruppo di criminali informatici che si presume abbia sede in Iran ha utilizzato i suoi strumenti in diverse campagne nel corso del 2022 per mantenere l'accesso a imprese di particolare interesse, tutte situate in Israele
di Alberto Falchi pubblicata il 17 Gennaio 2024, alle 17:41 nel canale SecurityESETCloud Security
ESET ha notato un numero crescente di downloader di malware che attribuisce alle attività di OilRig, un gruppo APT attivo dal 2014 che si presume abbia sede in Iran ed è specializzato in azioni di spionaggio cyber. Questi downloader sono stati rilevati in varie infrastrutture con sede a Israele, fra cui un'azienda manifatturiera, un'organizzazione governativa e un'azienda sanitaria.
Le attività di OilRig
I nuovi downloader rilevati da ESET e attribuiti a OilRig sono SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster. Si distinguono per l'utilizzo di servizi legittimi di cloud storage e di e-mail basati su cloud per le comunicazioni di command and control (C&C) e l'esfiltrazione dei dati, in particolare le Application Programming Interfaces (API) di Microsoft Graph OneDrive o Outlook e l'API di Microsoft Office Exchange Web Services.
Secondo i ricercatori di ESET, è molto probabile che siano opera dell'APT iraniano dato che condividono analogie con le backdoor MrPerfectionManager e PowerExchange utilizzate in precedenza da questo gruppo di criminali informatici. Non solo: le vittime in Israele erano già state bersagliate di attacchi in precedenza, sempre attraverso strumenti attribuiti a OilRig.
Va sottolineato che si tratta di attacchi molto mirati: ESET sostiene infatti che questi nuovi strumenti non siano stati utilizzati su svariati bersagli, ma su un numero molto limitato di obiettivi.
"Come gli altri strumenti di OilRig, questi downloader non sono particolarmente sofisticati. Tuttavia, il continuo sviluppo e test di nuove varianti, la sperimentazione di vari servizi cloud e di diversi linguaggi di programmazione, e la determinazione a compromettere gli stessi obiettivi più volte, fanno di OilRig un gruppo da tenere sotto controllo", afferma Zuzana Hromcová, ricercatrice ESET, che ha analizzato il malware insieme al collega Adam Burgher.
Un'analisi approfondita è disponibile sul blog di ESET a questo indirizzo.
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
JAXA SLIM funziona ancora sulla superficie della Luna, superata la terza notte
NASA Curiosity ha rilevato del metano che filtra dalla superficie del cratere Gale su Marte
La CNSA si prepara al lancio della missione Chang'e-6 per riportare campioni dal lato nascosto della Luna
Appuntamento a mezzanotte: lunedì 29 parte Amazon Gaming Week 2024 con tante offerte su monitor, TV, portatili, schede video e accessori per il gaming
Occhio a questi due droni in offerta su Amazon (uno DJI): si possono comprare a soli 249 e 279 euro, e non richiedono il patentino
MS-DOS 4.0, il rilascio open source non è piaciuto a tutti. L'hanno mutilato?
Il ministro Urso è sicuro: l'Italia al centro dei semiconduttori europei. Nuovi annunci in arrivo
AMD, emergono presunte specifiche della GPU RDNA 4 top di gamma che sarebbe stata cancellata
CPU AMD EPYC 4004 compatibili con socket AM5 in arrivo? Diversi modelli in vendita su eBay
Intel incolpa i produttori di schede madri per i problemi di stabilità con le CPU Core di 14a e 13a generazione
MSI: poche schede video Radeon? Al momento le RTX sono più importanti
X-Apply: se non riesci a mettere la pasta termica con questo, non dovresti assemblare PC!
Termostato intelligente Tado e teste termostatiche in offerta: perché approfittare ora di questi sconti
Progetti sempre più avanzati, complessi e veloci con TSMC CoW-SoW e COUPE
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".