ESET découvre que le groupe OilRig, aligné sur l’Iran, a déployé un nouveau malware sur des victimes israéliennes

Date:

  • ESET Research a analysé deux campagnes menées par le groupe OilRig en 2021 (Outer Space) et 2022 (Juicy Mix). Ce groupe APT est aligné avec les intérêts de l’Iran.
  • Les opérateurs ont ciblé exclusivement des organisations israéliennes et compromettaient des sites Web israéliens légitimes afin de les utiliser comme centre de communications et de contrôle (C & C / C2).
  • Ils ont utilisé une nouvelle porte dérobée inédite dans chaque campagne : Solar in Outer Space, puis son successeur Mango in Juicy Mix.
  • Une grande variété d’outils a été déployée à la suite des compromissions. Ces outils ont été utilisés pour collecter des informations sensibles à partir des principaux navigateurs et du Gestionnaire de mots de passe de Windows.

Les chercheurs d’ESET ont analysé deux campagnes du groupe APT OilRig aligné sur l’Iran: Outer Space menée en 2021 et Juicy Mix débutée à partir de 2022. Ces deux campagnes de cyberespionnage visaient exclusivement des organisations israéliennes, ce qui est conforme à l’habitude du groupe qui cible le Moyen-Orient. Ces deux campagnes utilisaient le même mode opératoire : OilRig a tout d’abord compromis un site Web légitime pour l’utiliser comme serveur C&C, puis a distribué des portes dérobées aux victimes. S’en est suivi le déploiement d’une grande variété d’outils post-compromission, principalement utilisés pour l’exfiltration de données. Ces outils ont été utilisés pour collecter des informations d’identification à partir du Gestionnaire de mots de passe et d’identification Windows ainsi que des principaux navigateurs, comprenant des informations d’identification, des cookies et l’historique de navigation.

Dans sa campagne Outer Space, OilRig a utilisé une porte dérobée C#/.NET simple, non documentée auparavant, ESET Research l’a nommé Solar, ainsi qu’un nouveau téléchargeur, SampleCheck5000 (ou SC5k), qui utilise l’API Microsoft Office Exchange Web Services pour sa communication avec le C&C. Pour la campagne Juicy Mix, les acteurs de la menace ont amélioré Solar pour créer la porte dérobée Mango, qui possède des capacités supplémentaires et des méthodes d’obscurcissement. Les deux portes dérobées ont été déployées par des droppers VBS, probablement propagées via des e-mails de spearphishing. En plus de détecter l’ensemble d’outils malveillants, ESET a également informé le CERT israélien de la liste des sites Web compromis.

La porte dérobée SOLAR possède des fonctionnalités de basique et peut être utilisée, entre autres, pour télécharger et exécuter des fichiers tout comme exfiltrer automatiquement des fichiers. Le serveur Web d’une société israélienne, dont le secteur d’activité est la gestion des ressources humaines, a été compromis avant de déployer Solar, il a été utilisé comme serveur C&C.

Pour sa campagne Juicy Mix, OilRig est passé de la porte dérobée Solar à Mango, apportant quelques changements techniques notables. ESET a identifié une technique d’évasion de détection inutilisée dans Mango. « L’objectif de cette technique est d’empêcher les solutions de sécurité des terminaux de charger leur code en mode utilisateur via une DLL. Bien que le paramètre n’ait pas été utilisé dans l’échantillon que nous avons analysé, il pourrait être activé dans les versions futures », explique Zuzana Hromcová, chercheuse chez ESET, qui a co-analysé les deux campagnes d’OilRig.

OilRig, également connu sous le nom d’APT34, Lyceum ou Siamesekitten, est un groupe de cyberespionnage actif depuis au moins 2014 et dont on pense généralement qu’il est basé en Iran. Le groupe cible les gouvernements du Moyen-Orient et divers secteurs verticaux, notamment la chimie, l’énergie, la finance et les télécommunications.

Pour plus d’informations techniques sur OilRig et ses campagnes Outer Space et Juicy Mix, consultez le blog »OilRig’s Outer Space et Juicy Mix: Même vieille plate-forme, nouveaux tuyaux de forage« sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.

Vue d’ensemble de la chaîne de compromission spatiale d’OilRig

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

Des écrans du futur : Samsung dévoile ses innovations au CES 2025

Samsung révolutionne l'affichage au CES 2025 avec des moniteurs IA, OLED et des taux de rafraîchissement inédits. Découvrez les Smart Monitor, Odyssey et ViewFinity

Guerre des puces : les États-Unis verrouillent l’accès à l’IA

Les États-Unis renforcent leur contrôle sur les exportations de puces d'IA, visant à limiter l'accès de la Chine et à maintenir leur leadership technologique. Mesures, exemptions et critiques

Samsung et Instacart : Une alliance technologique pour redéfinir l’expérience culinaire

Samsung et Instacart révolutionnent la cuisine ! Courses directement depuis votre frigo Bespoke dès 2025 grâce à l'IA. Livraison le jour même et gestion simplifiée.
00:00:16

Galaxy Unpacked 2025 : L’aube d’une nouvelle ère pour l’Intelligence Artificielle Mobile

Samsung Galaxy Unpacked 2025 : Découvrez les dernières innovations en IA mobile le 22 janvier à San Jose. Suivez l'événement en direct et plongez dans le futur de la technologie.

Samsung au CES 2025 : L’IA transforme la maison et au-delà

CES 2025 : Samsung révolutionne le quotidien avec l'IA. De la maison intelligente à la santé connectée, en passant par le divertissement immersif, découvrez la stratégie "Home AI".

ESET : Un Leader incontesté en cybersécurité, Confirmé par KuppingerCole en 2024

ESET reconnu leader en MDR par KuppingerCole en 2024. Une double distinction qui salue son excellence en cybersécurité et ses solutions innovantes pour toutes les entreprises.

Rapport Kaspersky : les coûts des cyberincidents explosent et poussent les entreprises à agir

Face à la cybercriminalité, les entreprises augmentent leurs budgets de sécurité informatique de 9 %. Découvrez les chiffres clés du rapport Kaspersky et les raisons de cette hausse.

PMI : 10 ans d’IQOS et une transformation radicale de l’industrie du tabac

Philip Morris International célèbre 10 ans d'IQOS, son dispositif de tabac chauffé. Une décennie d'innovation pour un avenir sans fumée et une transformation majeure de l'industrie du tabac