Durante el año 2022, el grupo iraní de ciberespionaje conocido como OilRig utilizó tres nuevos descargadores de malware para mantener el acceso persistente a organizaciones ubicadas en Israel. La compañía eslovaca de ciberseguridad ESET nombró a estos descargadores como ODAgent, OilCheck y OilBooster, y la campaña también involucra el uso de una versión actualizada de un descargador de OilRig conocido como SampleCheck5000 (o SC5k).
Según un informe compartido con este medio por Zuzana Hromcová y Adam Burgher, investigadores de seguridad, estos descargadores son destacables por utilizar algunas de las APIs de servicios en la nube legítimos para la comunicación y la extracción de datos de comando y control: las APIs de Microsoft Graph OneDrive o Outlook, y la API de servicios web de Microsoft Office Exchange (EWS). El objetivo es mezclarse con el tráfico de red auténtico y ocultar la infraestructura de ataque del grupo.
Entre las organizaciones atacadas se encuentran una del sector de la salud, una empresa de fabricación y una organización gubernamental local, entre otras. Todos los objetivos habían sido previamente atacados por el grupo de amenazas.
El vector de acceso inicial utilizado para comprometer los objetivos aún no está claro, y no se sabe si los atacantes lograron retener su presencia en las redes para desplegar estos descargadores en diferentes momentos de 2022.
OilRig es un grupo de ciberespionaje iraní conocido por utilizar una amplia gama de malware para atacar entidades en Oriente Medio desde al menos 2014. A lo largo de este año, la tripulación de hacking ha utilizado malware innovador como MrPerfectionManager, PowerExchange, Solar, Mango y Menorah.
ODAgent es un descargador de C # / .NET que utiliza la API de Microsoft OneDrive para comunicaciones de comando y control (C2), permitiendo al actor malicioso descargar y ejecutar cargas útiles y extraer archivos.
SampleCheck5000, en cambio, está diseñado para interactuar con una cuenta de correo electrónico compartida de Microsoft Exchange para descargar y ejecutar herramientas adicionales de OilRig utilizando la API de servicios web de Exchange Office (EWS).
OilBooster, al igual que ODAgent, utiliza la API de Microsoft OneDrive para C2, mientras que OilCheck adopta la misma técnica que SampleCheck5000 para extraer comandos incrustados en borradores de mensajes. Pero en lugar de utilizar la API de EWS, utiliza la API de Microsoft Graph para las comunicaciones de red.
OilBooster también es similar a OilCheck en que utiliza la API de Microsoft Graph para conectarse a una cuenta de Microsoft Office 365 controlada por el actor. Lo que es diferente esta vez es que la API se utiliza para interactuar con una cuenta de OneDrive controlada por el actor en lugar de una cuenta de Outlook para obtener comandos y cargas útiles de carpetas específicas para las víctimas.
Estas herramientas también comparten similitudes con los backdoors MrPerfectionManager y PowerExchange cuando se trata de utilizar protocolos de C2 basados en correo electrónico para extraer datos. Sin embargo, en el caso de este último, el servidor de Exchange de la organización víctima se utiliza para enviar mensajes a la cuenta de correo electrónico del atacante.
«En todos los casos, los descargadores utilizan una cuenta operada por OilRig (correo electrónico o almacenamiento en la nube) para intercambiar mensajes con los operadores de OilRig. La misma cuenta suele ser compartida por múltiples víctimas», explicaron los investigadores.
«Los descargadores acceden a esta cuenta para descargar comandos y cargas útiles adicionales organizados por los operadores, y para cargar la salida de comando y los archivos organizados».
