De door de Iraanse staat gesponsorde dreigingsacteur, bekend als Booreiland heeft in 2022 drie verschillende downloader-malware ingezet om blijvende toegang te behouden tot slachtofferorganisaties in Israël.
De drie nieuwe downloaders zijn door het Slowaakse cyberbeveiligingsbedrijf ESET ODAgent, OilCheck en OilBooster genoemd. Bij de aanvallen werd ook gebruik gemaakt van een bijgewerkte versie van een bekende OilRig-downloader genaamd SampleCheck5000 (of SC5k).
“Deze lichtgewicht downloaders […] staan bekend om het gebruik van een van de vele legitieme API’s voor cloudservices [command-and-control] communicatie en data-exfiltratie: de Microsoft Graph OneDrive- of Outlook-API’s en de Microsoft Office Exchange Web Services (EWS) API”, zeggen beveiligingsonderzoekers Zuzana Hromcová en Adam Burgher in een rapport gedeeld met The Hacker News.
Door bekende cloudserviceproviders te gebruiken voor command-and-control-communicatie, is het doel om op te gaan in authentiek netwerkverkeer en de aanvalsinfrastructuur van de groep te verdoezelen.
Tot de doelstellingen van de campagne behoren onder meer een organisatie in de gezondheidszorgsector, een productiebedrijf en een lokale overheidsorganisatie. Van alle slachtoffers wordt gezegd dat ze eerder het doelwit waren van de dreigingsactor.
De exacte initiële toegangsvector die wordt gebruikt om de doelen te compromitteren is momenteel onduidelijk en het is niet bekend of de aanvallers erin zijn geslaagd voet aan de grond te houden in de netwerken om deze downloaders op verschillende tijdstippen in 2022 in te zetten.
OilRig, ook bekend als APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (voorheen EUROPIUM) en Helix Kitten, is een Iraanse cyberspionagegroep waarvan bekend is dat ze actief is sinds ten minste 2014 en die een breed scala aan malware tot haar beschikking heeft om zich te richten entiteiten in het Midden-Oosten.
Alleen al dit jaar is waargenomen dat de hackers nieuwe malware gebruiken, zoals MrPerfectionManager, PowerExchange, Solar, Mango en Menorah.
ODAgent, voor het eerst ontdekt in februari 2022, is een C#/.NET-downloader die gebruikmaakt van Microsoft OneDrive API voor command-and-control (C2)-communicatie, waardoor de bedreigingsacteur payloads kan downloaden en uitvoeren, en geënsceneerde bestanden kan exfiltreren.
SampleCheck5000 is daarentegen ontworpen om te communiceren met een gedeeld Microsoft Exchange-mailaccount om aanvullende OilRig-tools te downloaden en uit te voeren met behulp van de Office Exchange Web Services (EWS) API.
OilBooster gebruikt, op dezelfde manier als ODAgent, Microsoft OneDrive API voor C2, terwijl OilCheck dezelfde techniek gebruikt als SampleCheck5000 om opdrachten te extraheren die zijn ingebed in conceptberichten. Maar in plaats van de EWS API te gebruiken, maakt het gebruik van de Microsoft Graph API voor netwerkcommunicatie.
OilBooster is ook vergelijkbaar met OilCheck omdat het de Microsoft Graph API gebruikt om verbinding te maken met een Microsoft Office 365-account. Wat deze keer anders is, is dat de API wordt gebruikt om te communiceren met een door een acteur bestuurd OneDrive-account, in tegenstelling tot een Outlook-account, om opdrachten en payloads op te halen uit slachtofferspecifieke mappen.
Deze tools delen ook overeenkomsten met de backdoors van MrPerfectionManager en PowerExchange als het gaat om het gebruik van op e-mail gebaseerde C2-protocollen om gegevens te exfiltreren, hoewel in het laatste geval de Exchange Server van de getroffen organisatie wordt gebruikt om berichten naar het e-mailaccount van de aanvaller te sturen.
“In alle gevallen gebruiken de downloaders een gedeeld (e-mail- of cloudopslag) door OilRig beheerd account om berichten uit te wisselen met de OilRig-operators; hetzelfde account wordt doorgaans gedeeld door meerdere slachtoffers”, legden de onderzoekers uit.
“De downloaders hebben toegang tot dit account om opdrachten en extra payloads te downloaden die door de operators zijn geënsceneerd, en om opdrachtuitvoer en geënsceneerde bestanden te uploaden.”
