- Le groupe OilRig, certainement lié à l’Iran, a activement développé et utilisé une série de téléchargeurs (downloader) tout au long de l’année 2022.
- Les cibles, toutes en Israël, comprennent une organisation du secteur de la santé, une entreprise manufacturière et une organisation gouvernementale locale. Toutes les cibles avaient été affectées auparavant par de multiples campagnes OilRig.
- Les téléchargeurs utilisent divers services cloud légitimes pour leurs communications de commande et de contrôle et l’exfiltration de données ; à savoir, l’API Microsoft Graph OneDrive, l’API Microsoft Graph Outlook et l’API Microsoft Office EWS.
- Nous documentons trois nouveaux téléchargeurs ODAgent, OilCheck, OilBooster sans oublier des versions récentes de SC5k.
iT-News (ESET) – Les chercheurs d’ESET ont analysé de nouveaux téléchargeurs appartenant au groupe APT OilRig quecelui-ci a utilisé dans plusieurs campagnes en 2022. Les objectifs sont des organisations d’intérêt, toutes situées en Israël. Il s’agit d’une organisation dans secteur de la santé, d’une entreprise manufacturière et d’une organisation gouvernementale locale. OilRig, également connu sous le nom d’APT34, Lyceum, Crambus ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014 et dont on pense qu’il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient ainsi que de secteurs d’activité précis, notamment la chimie, l’énergie, la finance et les télécommunications.
Les nouveaux téléchargeurs : SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent et OilBooster se distinguent par l’utilisation d’un stockage en nuage légitime et de services de messagerie basés sur le cloud pour leurs communications de commande et de contrôle (C&C) et l’exfiltration de données. En particulier les interfaces de programmation d’applications (API) Microsoft Graph OneDrive ou Outlook, et l’API des services Web Microsoft Office Exchange. ESET attribue SC5k (v1-v3), OilCheck, ODAgent et OilBooster. Nous attribuons ces outils à OilRig avec un haut niveau de confiance.
En comparaison avec l’ensemble d’outils d’OilRig, ces téléchargeurs ne sont pas particulièrement sophistiqués. Cependant, le développement et le test continus de nouvelles variantes, l’expérimentation de divers services cloud et de différents langages de programmation, ainsi que le dévouement à recompromettre les mêmes cibles encore et encore, font d’OilRig un groupe à surveiller », explique Zuzana Hromcová, chercheuse chez ESET, qui a analysé le malware avec Adam Burgher, chercheur chez ESET.
« Comme il est courant d’accéder à Office 365, les téléchargeurs alimentés par le service cloud d’OilRig peuvent se fondre plus facilement dans le flux du trafic réseau légitime, rendant leur détection plus complexe. On note ici que seule une défense en profondeur et une surveillance accrue de ses ressources permettent de détecter ce type de menace. » comment Benoit GRUNEMWALD, Directeur des Affaires Publiques, ESET France et Afrique Francophone.