Les chercheurs d’ESET ont analysé de nouveaux téléchargeurs appartenant au groupe APT OilRig que celui-ci a utilisé dans plusieurs campagnes en 2022. Les objectifs sont des organisations d’intérêt, toutes situées en Israël. Il s’agit d’une organisation dans secteur de la santé, d’une entreprise manufacturière et d’une organisation gouvernementale locale.
OilRig, également connu sous le nom d’APT34, Lyceum, Crambus ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014 et dont on pense qu’il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient ainsi que de secteurs d’activité précis, notamment la chimie, l’énergie, la finance et les télécommunications.
Les nouveaux téléchargeurs : SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent et OilBooster se distinguent par l’utilisation d’un stockage en nuage légitime et de services de messagerie basés sur le cloud pour leurs communications de commande et de contrôle (C&C) et l’exfiltration de données. En particulier les interfaces de programmation d’applications (API) Microsoft Graph OneDrive ou Outlook, et l’API des services Web Microsoft Office Exchange. ESET attribue SC5k (v1-v3), OilCheck, ODAgent et OilBooster. Nous attribuons ces outils à OilRig avec un haut niveau de confiance.
En comparaison avec l’ensemble d’outils d’OilRig, ces téléchargeurs ne sont pas particulièrement sophistiqués. Cependant, le développement et le test continus de nouvelles variantes, l’expérimentation de divers services cloud et de différents langages de programmation, ainsi que le dévouement à recompromettre les mêmes cibles encore et encore, font d’OilRig un groupe à surveiller », explique Zuzana Hromcová, chercheuse chez ESET, qui a analysé le malware avec Adam Burgher, chercheur chez ESET.
« Comme il est courant d’accéder à Office 365, les téléchargeurs alimentés par le service cloud d’OilRig peuvent se fondre plus facilement dans le flux du trafic réseau légitime, rendant leur détection plus complexe. On note ici que seule une défense en profondeur et une surveillance accrue de ses ressources permettent de détecter ce type de menace. » commente Benoit GRUNEMWALD, Directeur des Affaires Publiques, ESET France et Afrique Francophone.
