ESET découvre que le groupe OilRig, aligné sur l’Iran, a déployé un nouveau malware sur des victimes israéliennes

Date:

  • ESET Research a analysé deux campagnes menées par le groupe OilRig en 2021 (Outer Space) et 2022 (Juicy Mix). Ce groupe APT est aligné avec les intérêts de l’Iran.
  • Les opérateurs ont ciblé exclusivement des organisations israéliennes et compromettaient des sites Web israéliens légitimes afin de les utiliser comme centre de communications et de contrôle (C & C / C2).
  • Ils ont utilisé une nouvelle porte dérobée inédite dans chaque campagne : Solar in Outer Space, puis son successeur Mango in Juicy Mix.
  • Une grande variété d’outils a été déployée à la suite des compromissions. Ces outils ont été utilisés pour collecter des informations sensibles à partir des principaux navigateurs et du Gestionnaire de mots de passe de Windows.

Les chercheurs d’ESET ont analysé deux campagnes du groupe APT OilRig aligné sur l’Iran: Outer Space menée en 2021 et Juicy Mix débutée à partir de 2022. Ces deux campagnes de cyberespionnage visaient exclusivement des organisations israéliennes, ce qui est conforme à l’habitude du groupe qui cible le Moyen-Orient. Ces deux campagnes utilisaient le même mode opératoire : OilRig a tout d’abord compromis un site Web légitime pour l’utiliser comme serveur C&C, puis a distribué des portes dérobées aux victimes. S’en est suivi le déploiement d’une grande variété d’outils post-compromission, principalement utilisés pour l’exfiltration de données. Ces outils ont été utilisés pour collecter des informations d’identification à partir du Gestionnaire de mots de passe et d’identification Windows ainsi que des principaux navigateurs, comprenant des informations d’identification, des cookies et l’historique de navigation.

Dans sa campagne Outer Space, OilRig a utilisé une porte dérobée C#/.NET simple, non documentée auparavant, ESET Research l’a nommé Solar, ainsi qu’un nouveau téléchargeur, SampleCheck5000 (ou SC5k), qui utilise l’API Microsoft Office Exchange Web Services pour sa communication avec le C&C. Pour la campagne Juicy Mix, les acteurs de la menace ont amélioré Solar pour créer la porte dérobée Mango, qui possède des capacités supplémentaires et des méthodes d’obscurcissement. Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées via des e-mails de spearphishing. En plus de détecter l’ensemble d’outils malveillants, ESET a également informé le CERT israélien de la liste des sites Web compromis.

La porte dérobée SOLAR possède des fonctionnalités de basique et peut être utilisée, entre autres, pour télécharger et exécuter des fichiers tout comme exfiltrer automatiquement des fichiers. Le serveur Web d’une société israélienne, dont le secteur d’activité est la gestion des ressources humaines, a été compromis avant de déployer Solar, il a été utilisé comme serveur C&C.

Pour sa campagne Juicy Mix, OilRig est passé de la porte dérobée Solar à Mango, apportant quelques changements techniques notables. ESET a identifié une technique d’évasion de détection inutilisée dans Mango. « L’objectif de cette technique est d’empêcher les solutions de sécurité des terminaux de charger leur code en mode utilisateur via une DLL. Bien que le paramètre n’ait pas été utilisé dans l’échantillon que nous avons analysé, il pourrait être activé dans les versions futures », explique Zuzana Hromcová, chercheuse chez ESET, qui a co-analysé les deux campagnes d’OilRig.

OilRig, également connu sous le nom d’APT34, Lyceum ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014 et dont on pense généralement qu’il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs verticaux, notamment la chimie, l’énergie, la finance et les télécommunications.

Pour plus d’informations techniques sur OilRig et ses campagnes Outer Space et Juicy Mix, consultez le blog »OilRig’s Outer Space et Juicy Mix: Même vieille plate-forme, nouveaux tuyaux de forage« sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.

Vue d’ensemble de la chaîne de compromission spatiale d’OilRig

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

Huawei : une production massive de la puce IA Ascend 910C prévue pour 2025

Huawei prévoit la production massive de sa puce IA Ascend 910C pour début 2025, malgré les défis liés aux restrictions américaines. Découvrez les enjeux technologiques et stratégiques d'une avancée majeure pour l'industrie des semi-conducteurs.

Sony sur le point de racheter Kadokawa : un tournant majeur pour le gaming

Sony pourrait bientôt s'offrir Kadokawa, la société à l'origine du succès phénoménal d'Elden Ring. Cette acquisition renforcerait considérablement la position de Sony dans l'industrie du jeu vidéo.

Le réseau social de Trump négocie l’achat de Bakkt : une révolution crypto en vue

Le groupe de Donald Trump, propriétaire de Truth Social, est en négociations avancées pour acquérir Bakkt, une plateforme de cryptoactifs. Découvrez les impacts de cette opération sur le marché et les ambitions crypto de l'ex-président.

Kaspersky et AFRIPOL : Un partenariat inédit pour sécuriser le cyberespace africain

Face à la hausse des cyberattaques, Kaspersky et AFRIPOL joignent leurs forces pour sécuriser le cyberespace africain. Un partenariat stratégique pour une Afrique numérique plus sûre.

OPPO Find X8 : Le smartphone ultime avec le processeur MediaTek Dimensity 9400 – Performances, IA et photo révolutionnaire

Découvrez la série OPPO Find X8, les premiers smartphones équipés du MediaTek Dimensity 9400. Alliant puissance, IA avancée et efficacité énergétique, ces appareils redéfinissent l'expérience mobile avec des performances de jeu, photo et connectivité révolutionnaires.

ASML : Une Croissance Soutenue par l’Intelligence Artificielle jusqu’en 2030

ASML prévoit une croissance exponentielle grâce à l'IA. Le leader mondial des machines EUV dévoile ses ambitions pour 2030.

Soutien stratégique des gouvernements japonais et sud-coréen à l’industrie des semi-conducteurs

Le Japon et la Corée du Sud renforcent leurs industries des semi-conducteurs avec des subventions massives et des projets de loi stratégiques pour contrer la concurrence mondiale et les menaces de droits de douane américains sous la présidence de Donald Trump.

Protégez vos enfants en ligne avec ESET Safe Kids : un guide complet

Assurez la sécurité de vos enfants sur Internet avec ESET Safe Kids. Découvrez nos conseils et astuces pour filtrer les contenus inappropriés, surveiller leur activité en ligne et leur apprendre à naviguer en toute sécurité.