Iscriviti al nostro nuovo canale YouTube, attiva le notifiche e rimani aggiornato su tutti i nuovi video

Cybersecurity: l'APT OilRig all'attacco delle infrastrutture israeliane. L'analisi di ESET

Cybersecurity: l'APT OilRig all'attacco delle infrastrutture israeliane. L'analisi di ESET

Il gruppo di criminali informatici che si presume abbia sede in Iran ha utilizzato i suoi strumenti in diverse campagne nel corso del 2022 per mantenere l'accesso a imprese di particolare interesse, tutte situate in Israele

di pubblicata il , alle 17:41 nel canale Security
ESETCloud Security
 

ESET ha notato un numero crescente di downloader di malware che attribuisce alle attività di OilRig, un gruppo APT attivo dal 2014 che si presume abbia sede in Iran ed è specializzato in azioni di spionaggio cyber. Questi downloader sono stati rilevati in varie infrastrutture con sede a Israele, fra cui un'azienda manifatturiera, un'organizzazione governativa e un'azienda sanitaria.

Le attività di OilRig

I nuovi downloader rilevati da ESET e attribuiti a OilRig sono SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster. Si distinguono per l'utilizzo di servizi legittimi di cloud storage e di e-mail basati su cloud per le comunicazioni di command and control (C&C) e l'esfiltrazione dei dati, in particolare le Application Programming Interfaces (API) di Microsoft Graph OneDrive o Outlook e l'API di Microsoft Office Exchange Web Services.

ESET OilRig APT

Secondo i ricercatori di ESET, è molto probabile che siano opera dell'APT iraniano dato che condividono analogie con le backdoor MrPerfectionManager e PowerExchange utilizzate in precedenza da questo gruppo di criminali informatici. Non solo: le vittime in Israele erano già state bersagliate di attacchi in precedenza, sempre attraverso strumenti attribuiti a OilRig. 

Va sottolineato che si tratta di attacchi molto mirati: ESET sostiene infatti che questi nuovi strumenti non siano stati utilizzati su svariati bersagli, ma su un numero molto limitato di obiettivi.

"Come gli altri strumenti di OilRig, questi downloader non sono particolarmente sofisticati. Tuttavia, il continuo sviluppo e test di nuove varianti, la sperimentazione di vari servizi cloud e di diversi linguaggi di programmazione, e la determinazione a compromettere gli stessi obiettivi più volte, fanno di OilRig un gruppo da tenere sotto controllo", afferma Zuzana Hromcová, ricercatrice ESET, che ha analizzato il malware insieme al collega Adam Burgher.

Un'analisi approfondita è disponibile sul blog di ESET a questo indirizzo.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cresg8217 Gennaio 2024, 18:52 #1
Se ho capito bene, per estrarre i dati e non dare nell'occhio passano dai servizi cloud che generalmente sono considerati "benevoli". Tuttavia, la domanda che mi faccio è: ma come sono entrati?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^