Cybersecurity: l'APT OilRig all'attacco delle infrastrutture israeliane. L'analisi di ESET
di Alberto Falchi pubblicata il 17 Gennaio 2024, alle 17:41 nel canale SecurityIl gruppo di criminali informatici che si presume abbia sede in Iran ha utilizzato i suoi strumenti in diverse campagne nel corso del 2022 per mantenere l'accesso a imprese di particolare interesse, tutte situate in Israele
ESET ha notato un numero crescente di downloader di malware che attribuisce alle attività di OilRig, un gruppo APT attivo dal 2014 che si presume abbia sede in Iran ed è specializzato in azioni di spionaggio cyber. Questi downloader sono stati rilevati in varie infrastrutture con sede a Israele, fra cui un'azienda manifatturiera, un'organizzazione governativa e un'azienda sanitaria.
Le attività di OilRig
I nuovi downloader rilevati da ESET e attribuiti a OilRig sono SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster. Si distinguono per l'utilizzo di servizi legittimi di cloud storage e di e-mail basati su cloud per le comunicazioni di command and control (C&C) e l'esfiltrazione dei dati, in particolare le Application Programming Interfaces (API) di Microsoft Graph OneDrive o Outlook e l'API di Microsoft Office Exchange Web Services.
Secondo i ricercatori di ESET, è molto probabile che siano opera dell'APT iraniano dato che condividono analogie con le backdoor MrPerfectionManager e PowerExchange utilizzate in precedenza da questo gruppo di criminali informatici. Non solo: le vittime in Israele erano già state bersagliate di attacchi in precedenza, sempre attraverso strumenti attribuiti a OilRig.
Va sottolineato che si tratta di attacchi molto mirati: ESET sostiene infatti che questi nuovi strumenti non siano stati utilizzati su svariati bersagli, ma su un numero molto limitato di obiettivi.
"Come gli altri strumenti di OilRig, questi downloader non sono particolarmente sofisticati. Tuttavia, il continuo sviluppo e test di nuove varianti, la sperimentazione di vari servizi cloud e di diversi linguaggi di programmazione, e la determinazione a compromettere gli stessi obiettivi più volte, fanno di OilRig un gruppo da tenere sotto controllo", afferma Zuzana Hromcová, ricercatrice ESET, che ha analizzato il malware insieme al collega Adam Burgher.
Un'analisi approfondita è disponibile sul blog di ESET a questo indirizzo.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".