ESET découvre que le groupe OilRig, aligné sur l’Iran, a déployé un nouveau malware sur des victimes israéliennes

Date:

  • ESET Research a analysé deux campagnes menées par le groupe OilRig en 2021 (Outer Space) et 2022 (Juicy Mix). Ce groupe APT est aligné avec les intérêts de l’Iran.
  • Les opérateurs ont ciblé exclusivement des organisations israéliennes et compromettaient des sites Web israéliens légitimes afin de les utiliser comme centre de communications et de contrôle (C & C / C2).
  • Ils ont utilisé une nouvelle porte dérobée inédite dans chaque campagne : Solar in Outer Space, puis son successeur Mango in Juicy Mix.
  • Une grande variété d’outils a été déployée à la suite des compromissions. Ces outils ont été utilisés pour collecter des informations sensibles à partir des principaux navigateurs et du Gestionnaire de mots de passe de Windows.

Les chercheurs d’ESET ont analysé deux campagnes du groupe APT OilRig aligné sur l’Iran: Outer Space menée en 2021 et Juicy Mix débutée à partir de 2022. Ces deux campagnes de cyberespionnage visaient exclusivement des organisations israéliennes, ce qui est conforme à l’habitude du groupe qui cible le Moyen-Orient. Ces deux campagnes utilisaient le même mode opératoire : OilRig a tout d’abord compromis un site Web légitime pour l’utiliser comme serveur C&C, puis a distribué des portes dérobées aux victimes. S’en est suivi le déploiement d’une grande variété d’outils post-compromission, principalement utilisés pour l’exfiltration de données. Ces outils ont été utilisés pour collecter des informations d’identification à partir du Gestionnaire de mots de passe et d’identification Windows ainsi que des principaux navigateurs, comprenant des informations d’identification, des cookies et l’historique de navigation.

Dans sa campagne Outer Space, OilRig a utilisé une porte dérobée C#/.NET simple, non documentée auparavant, ESET Research l’a nommé Solar, ainsi qu’un nouveau téléchargeur, SampleCheck5000 (ou SC5k), qui utilise l’API Microsoft Office Exchange Web Services pour sa communication avec le C&C. Pour la campagne Juicy Mix, les acteurs de la menace ont amélioré Solar pour créer la porte dérobée Mango, qui possède des capacités supplémentaires et des méthodes d’obscurcissement. Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées via des e-mails de spearphishing. En plus de détecter l’ensemble d’outils malveillants, ESET a également informé le CERT israélien de la liste des sites Web compromis.

La porte dérobée SOLAR possède des fonctionnalités de basique et peut être utilisée, entre autres, pour télécharger et exécuter des fichiers tout comme exfiltrer automatiquement des fichiers. Le serveur Web d’une société israélienne, dont le secteur d’activité est la gestion des ressources humaines, a été compromis avant de déployer Solar, il a été utilisé comme serveur C&C.

Pour sa campagne Juicy Mix, OilRig est passé de la porte dérobée Solar à Mango, apportant quelques changements techniques notables. ESET a identifié une technique d’évasion de détection inutilisée dans Mango. « L’objectif de cette technique est d’empêcher les solutions de sécurité des terminaux de charger leur code en mode utilisateur via une DLL. Bien que le paramètre n’ait pas été utilisé dans l’échantillon que nous avons analysé, il pourrait être activé dans les versions futures », explique Zuzana Hromcová, chercheuse chez ESET, qui a co-analysé les deux campagnes d’OilRig.

OilRig, également connu sous le nom d’APT34, Lyceum ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014 et dont on pense généralement qu’il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs verticaux, notamment la chimie, l’énergie, la finance et les télécommunications.

Pour plus d’informations techniques sur OilRig et ses campagnes Outer Space et Juicy Mix, consultez le blog »OilRig’s Outer Space et Juicy Mix: Même vieille plate-forme, nouveaux tuyaux de forage« sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.

Vue d’ensemble de la chaîne de compromission spatiale d’OilRig

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

00:00:31

Samsung – Libérez votre artiste intérieur avec les Galaxy Z Fold6 et Z Flip6

Laissez libre cours à votre créativité avec les Galaxy Z Fold6 et Z Flip6. Transformez vos photos en œuvres d'art grâce à l'IA de Samsung. Des croquis aux portraits, créez du contenu unique en quelques clics.

Nvidia Remplace Intel dans le Dow Jones : Une Transition Marquante dans l’Industrie des Semi-Conducteurs

Intel quitte le Dow Jones après 25 ans, remplacé par Nvidia, soulignant un tournant majeur dans l’industrie des puces et le succès croissant de Nvidia dans le secteur de l’intelligence artificielle. Découvrez les raisons et impacts de ce changement significatif.

Apple surfe sur l’IA : des résultats solides mais des défis à relever

Apple a dévoilé des résultats trimestriels solides, portés par les ventes d'iPhone et l'intégration de fonctionnalités d'intelligence artificielle. Cependant, des défis subsistent, notamment en Chine et concernant la cadence de déploiement de l'IA.

Epson franchit un cap : 100 millions d’imprimantes à réservoir d’encre vendues !

Les imprimantes Epson à réservoir d'encre révolutionnent le marché de l'impression. Avec plus de 100 millions d'unités vendues, découvrez pourquoi ces imprimantes écologiques et économiques sont plébiscitées par des millions d'utilisateurs dans le monde entier.

Samsung Révolutionne l’Expérience Télévisuelle avec le Fond d’Écran Génératif

Transformez votre téléviseur Samsung en une œuvre d'art personnalisée grâce au Fond d'Écran Génératif. L'IA crée des images 4K sur-mesure pour une expérience visuelle immersive.

OPPO Find X8 : Une nouvelle ère pour la photographie mobile

OPPO révolutionne la photo mobile avec le Find X8. Hasselblad, zoom puissant, IA optimisée : découvrez les nouveautés de cette série haut de gamme.

L’IA propulse IBM : Des résultats trimestriels solides grâce aux logiciels

IBM a publié des résultats solides pour le troisième trimestre, soutenus par une forte croissance de son segment logiciel, notamment grâce à l'essor de l'intelligence artificielle. Découvrez comment l'IA transforme le géant technologique.

L’ESA et SpaceX : un dialogue crucial pour l’avenir de l’espace

L'ESA négocie avec SpaceX pour réduire les débris spatiaux. Découvrez comment cette collaboration pourrait révolutionner l'exploration spatiale et protéger notre planète