Các tổ chức của Israel đã trở thành mục tiêu của hai chiến dịch khác nhau do tổ chức quốc gia Iran có tên OilRig dàn dựng vào năm 2021 và 2022.
Các chiến dịch, được đặt tên là Outer Space và Juicy Mix, yêu cầu sử dụng hai cửa hậu giai đoạn đầu được ghi lại trước đó có tên Solar và Mango, được triển khai để thu thập thông tin nhạy cảm từ các trình duyệt chính và Trình quản lý thông tin xác thực Windows.
Nhà nghiên cứu bảo mật Zuzana Hromcová của ESET cho biết trong một phân tích hôm thứ Năm: “Cả hai cửa hậu đều được triển khai bởi các phần mềm nhỏ giọt VBS, có lẽ đã lây lan qua các email lừa đảo trực tuyến” .
OilRig (còn gọi là APT34, Cobalt Gypsy, Hazel Sandstorm và Helix Kitten) là tên được gán cho một nhóm xâm nhập liên kết với Bộ Tình báo và An ninh Iran (MOIS). Hoạt động từ năm 2014, kẻ đe dọa đã sử dụng nhiều loại công cụ có sẵn để thực hiện hành vi trộm cắp thông tin.
Đầu tháng 2 này, Trend Micro đã phát hiện ra việc OilRig sử dụng một cửa hậu đơn giản để đánh cắp thông tin đăng nhập của người dùng, nêu bật “tính linh hoạt của nó trong việc viết phần mềm độc hại mới dựa trên môi trường và cấp độ truy cập đã được nghiên cứu của khách hàng”.
Nhóm này cũng được quan sát thấy đang cung cấp phiên bản cập nhật của SideTwist như một phần của cuộc tấn công lừa đảo có khả năng nhắm vào các doanh nghiệp Hoa Kỳ.
Điều đó nói lên rằng, việc sử dụng phần mềm độc hại Mango trước đây đã được cả ESET và Microsoft nhấn mạnh vào tháng 5 năm 2023, sau đó Microsoft quy nó cho một cụm hoạt động mới nổi mà nó theo dõi dưới tên Storm-0133.
Nhà sản xuất Windows cho biết Storm-0133, cũng được liên kết với MOIS, nhắm mục tiêu độc quyền vào các cơ quan chính quyền địa phương của Israel và các công ty phục vụ các lĩnh vực quốc phòng, lưu trú và chăm sóc sức khỏe.
Những phát hiện mới nhất từ công ty an ninh mạng Slovakia cho thấy nhóm này tiếp tục tập trung vào Israel, sử dụng mồi nhử lừa đảo để lừa các mục tiêu tiềm năng cài đặt phần mềm độc hại thông qua các tệp đính kèm bị gài bẫy.
Trong chiến dịch Outer Space được quan sát vào năm 2021, OilRig đã xâm phạm một trang web nhân sự của Israel và sau đó sử dụng nó làm máy chủ ra lệnh và kiểm soát (C2) cho Solar, một backdoor C#/.NET cơ bản có khả năng tải xuống và thực thi các tệp cũng như thu thập thông tin .
Solar cũng đóng vai trò là phương tiện để triển khai trình tải xuống có tên SampleCheck5000 (hoặc SC5k), sử dụng API Office Exchange Web Services (EWS) để tải xuống các công cụ bổ sung để thực thi cũng như tiện ích lọc dữ liệu từ trình duyệt web Chrome được đề cập đến. như MKG.
Hromcová cho biết: “Khi SC5k đăng nhập vào máy chủ Exchange từ xa, nó sẽ truy xuất tất cả các email trong thư mục Thư nháp, sắp xếp chúng theo thời gian gần đây nhất, chỉ giữ lại những bản nháp có tệp đính kèm”.
"Sau đó, nó lặp lại mọi tin nhắn nháp có tệp đính kèm, tìm kiếm các tệp đính kèm JSON có chứa" dữ liệu "trong nội dung. Nó trích xuất giá trị từ dữ liệu chính trong tệp JSON, base64 giải mã và giải mã giá trị và gọi cmd.exe để thực thi chuỗi dòng lệnh kết quả."
Kết quả thực thi lệnh được sắp xếp và gửi lại cho người vận hành thông qua thông báo email mới trên máy chủ Exchange và lưu dưới dạng bản nháp.
Chiến dịch Juicy Mix năm 2022 liên quan đến việc sử dụng Mango, một phiên bản cải tiến của Solar kết hợp các khả năng bổ sung và phương pháp làm rối mã nguồn. Vì mục đích C2, kẻ đe dọa đã xâm phạm một trang web cổng thông tin việc làm hợp pháp của Israel.
Hromcová cho biết: “OilRig tiếp tục đổi mới và tạo ra các bộ phận cấy ghép mới có khả năng giống như cửa hậu, đồng thời tìm ra những cách mới để thực thi lệnh trên các hệ thống từ xa”.
"Nhóm triển khai một bộ công cụ tùy chỉnh sau xâm phạm được sử dụng để thu thập thông tin xác thực, cookie và lịch sử duyệt web từ các trình duyệt chính và từ Trình quản lý thông tin xác thực Windows."