Киберпреступники используют неизвестное вредоносное ПО, которое использует правительственную почту для сбора данных.
Исследователи кибербезопасности из ИБ-компании Trend Micro заявляют , что иранская APT-группа OilRig (APT34, Cobalt Gypsy, Europium, and Helix Kitten) продолжает атаковать правительственные организации на Ближнем Востоке в рамках кампании кибершпионажа, которая использует новый бэкдор для кражи данных.
Кампания использует легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые аккаунты, контролируемые злоумышленниками.
https://www.securitylab.ru/upload/me...u4zcbxp0iy.png
Цепочка атаки OilRig
Для отправки данных используется бэкдор на основе .NET, которому поручено доставлять 4 разных файла, включая основной имплантат («DevicesSrv.exe»), эксфильтрующий определенные файлы.
На втором этапе используется файл DLL-библиотеки, который собирает учетные данные пользователей домена и локальных профилей.
Наиболее заметным аспектом бэкдора является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками email-адреса Gmail и Proton Mail. Хакеры отправляют эти электронные письма через правительственные серверы Exchange, используя скомпрометированные легитимные аккаунты.
Эту кампанию специалисты связали с APT34 из-за сходства дропперов первого этапа и бэкдора группы Saitama , виктимологии и использования серверов обмена с выходом в Интернет в качестве метода связи, как это наблюдалось в случае вредоносным ПО Karkoff .
По словам исследователей, несмотря на простоту процедуры, новизна второго и последнего этапов также указывает на то, что вся эта процедура может быть лишь небольшой частью более крупной кампании, нацеленной на правительства.