OilRig: космические полёты и сочный микс — та же старая вышка, новые буровые

ОБНОВЛЕНИЕ (5 июня 2025 г.): После публикации этой статьи мы обновили наши данные, чтобы лучше отразить полный спектр и сложность вредоносных действий, выполняемых группой OilRig APT. В результате мы теперь отслеживаем OilRig как материнскую группу с несколькими подгруппами. Действия, описанные в этой статье, относятся к подгруппе OilRig под названием Lyceum.

Lyceum, также известная как HEXANE или Storm-0133, — это продвинутая группа угроз, которая специализируется на атаках на различные израильские организации, включая государственные и местные органы власти, а также организации здравоохранения. Основные инструменты, которые мы связываем с Lyceum, включают DanBot, бэкдоры Shark, Milan и Marlin, Solar и Mango, OilForceGTX и различные загрузчики, использующие легитимные облачные сервисы для C&C коммуникации.

Исследователи ESET проанализировали две кампании группы OilRig APT: Outer Space (2021) и Juicy Mix (2022). Обе эти кампании кибершпионажа были направлены исключительно на израильские организации, что соответствует фокусу группы на Ближнем Востоке, и использовали один и тот же сценарий: сначала OilRig взламывала легитимный веб-сайт для использования в качестве C&C сервера, а затем использовала VBS дропперы для доставки бэкдора на C#/.NET своим жертвам, одновременно развертывая различные инструменты для постоперационного проникновения, в основном используемые для эксфильтрации данных с целевых систем.

В своей кампании Outer Space OilRig использовала простой, ранее не документированный бэкдор на C#/.NET, который мы назвали Solar, вместе с новым загрузчиком SampleCheck5000 (или SC5k), использующим API Microsoft Office Exchange Web Services для C&C коммуникации. Для кампании Juicy Mix злоумышленники улучшили Solar, создав бэкдор Mango, обладающий дополнительными возможностями и методами обфускации. Помимо обнаружения вредоносного набора инструментов, мы также уведомили израильский CERT о взломанных веб-сайтах.

Ключевые моменты этой статьи:

• ESET зафиксировал две кампании OilRig, которые проходили в течение 2021 (Outer Space) и 2022 (Juicy Mix) годов.
• Операторы исключительно нацеливались на израильские организации и взламывали легитимные израильские веб-сайты для использования в своих C&C коммуникациях.
• В каждой кампании они использовали новый, ранее не документированный бэкдор первого этапа на C#/.NET: Solar в Outer Space, затем его преемник Mango в Juicy Mix.
• Оба бэкдора были развернуты VBS дропперами, предположительно распространяемыми через целевые фишинговые письма.
• В обеих кампаниях был развернут ряд инструментов для постоперационного проникновения, в частности загрузчик SC5k, использующий API Microsoft Office Exchange Web Services для C&C коммуникации, и несколько инструментов для кражи данных браузера и учетных данных из Windows Credential Manager.

OilRig, также известная как APT34, Lyceum или Siamesekitten, — это группа кибершпионажа, активная как минимум с 2014 года и, как общепринято считать, базирующаяся в Иране. Группа нацеливается на правительства стран Ближнего Востока и различные бизнес-сегменты, включая химическую, энергетическую, финансовую и телекоммуникационную отрасли. OilRig провела кампанию DNSpionage в 2018 и 2019 годах, нацеленную на жертв в Ливане и Объединенных Арабских Эмиратах. В 2019 и 2020 годах OilRig продолжала атаки с кампанией HardPass, которая использовала LinkedIn для нацеливания на ближневосточных жертв в энергетическом и государственном секторах. В 2021 году OilRig обновила свой бэкдор DanBot и начала развертывать бэкдоры Shark, Milan и Marlin, упомянутые в выпуске T3 2021 ESET Threat Report.

В этой статье мы представляем технический анализ бэкдоров Solar и Mango, VBS дроппера, использованного для доставки Mango, а также инструментов для постоперационного проникновения, развернутых в ходе этих кампаний.

Атрибуция

Первая зацепка, позволившая нам связать кампанию Outer Space с OilRig, — это использование того же пользовательского дамппера данных Chrome (отслеживаемого исследователями ESET под именем MKG), что и в кампании Out to Sea. Мы наблюдали, как бэкдор Solar развертывал тот же образец MKG, что и в Out to Sea, на системе жертвы, вместе с двумя другими вариантами.

Помимо совпадений в инструментах и целевых атаках, мы также увидели множество сходств между бэкдором Solar и бэкдорами, использованными в Out to Sea, в основном касающихся загрузки и скачивания: как Solar, так и Shark, другой бэкдор OilRig, используют URI с простыми схемами загрузки и скачивания для связи с C&C сервером, с «d» для скачивания и «u» для загрузки; кроме того, загрузчик SC5k использует подкаталоги для загрузки и скачивания, как и другие бэкдоры OilRig, а именно ALMA, Shark, DanBot и Milan. Эти находки служат дальнейшим подтверждением того, что виновник за Outer Space — это действительно OilRig.

Что касается связи кампании Juicy Mix с OilRig, помимо нацеливания на израильские организации — что типично для этой шпионской группы — существуют совпадения в коде между Mango, бэкдором, использованным в этой кампании, и Solar. Более того, оба бэкдора были развернуты VBS дропперами с использованием одной и той же техники обфускации строк. Выбор инструментов для постоперационного проникновения, использованных в Juicy Mix, также отражает предыдущие кампании OilRig.

Обзор кампании Outer Space

Названная так из-за использования схемы именования, основанной на астрономии, в названиях функций и задач, Outer Space — это кампания OilRig 2021 года. В этой кампании группа взломала израильский сайт по управлению персоналом и впоследствии использовала его как C&C сервер для своего ранее не документированного бэкдора на C#/.NET, Solar. Solar — это простой бэкдор с базовыми функциями, такими как чтение и запись с диска, а также сбор информации.

Через Solar группа затем развернула новый загрузчик SC5k, который использует API Office Exchange Web Services для скачивания дополнительных инструментов для выполнения, как показано на Рисунке 1. Для эксфильтрации данных браузера с системы жертвы OilRig использовала дамппер данных Chrome под названием MKG.

Обзор кампании Juicy Mix

В 2022 году OilRig запустила еще одну кампанию, нацеленную на израильские организации, на этот раз с обновленным набором инструментов. Мы назвали кампанию Juicy Mix из-за использования нового бэкдора OilRig, Mango (на основе его внутреннего имени сборки и имени файла Mango.exe). В этой кампании злоумышленники взломали легитимный израильский портал вакансий для использования в C&C коммуникациях. Вредоносные инструменты группы затем были развернуты против организации здравоохранения, также расположенной в Израиле.

Бэкдор первого этапа Mango является преемником Solar, также написан на C#/.NET, с заметными изменениями, включающими возможности эксфильтрации, использование нативных API и добавленный код для уклонения от обнаружения.

Вместе с Mango мы также обнаружили два ранее не документированных дамппера данных браузера, используемых для кражи куки, истории просмотров и учетных данных из браузеров Chrome и Edge, а также стилер Windows Credential Manager, все из которых мы относим к OilRig. Эти инструменты использовались против той же цели, что и Mango, а также против других взломанных израильских организаций в течение 2021 и 2022 годов. Рисунок 2 показывает обзор того, как различные компоненты использовались в кампании Juicy Mix.

Технический анализ

В этом разделе мы представляем технический анализ бэкдоров Solar и Mango, а также загрузчика SC5k, и других инструментов, которые были развернуты на целевых системах в этих кампаниях.

VBS дропперы

Для получения первоначального доступа к системе жертвы в обеих кампаниях использовались дропперы Visual Basic Script (VBS), которые, скорее всего, распространялись через целевые фишинговые письма. Наш анализ ниже фокусируется на VBS скрипте, использованном для доставки Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); обратите внимание, что дроппер Solar очень похож.

Назначение дроппера — доставить встроенный бэкдор Mango, запланировать задачу для обеспечения персистентности и зарегистрировать компрометацию на C&C сервере. Встроенный бэкдор хранится в виде серии подстрок base64, которые конкатенируются и декодируются из base64. Как показано на Рисунке 3, скрипт также использует простую технику деобфускации строк, где строки собираются с помощью арифметических операций и функции Chr.

On top of that, Mango’s VBS dropper adds another type of string obfuscation and code to set up persistence and register with the C&C server. As shown in Figure 4, to deobfuscate some strings, the script replaces any characters in the set #*+-_)(}{@$%^& with 0, then divides the string into three-digit numbers that are then converted into ASCII characters using the Chr
function. For example, the string 116110101109117+99111$68+77{79$68}46-50108109120115}77 translates to Msxml2.DOMDocument.

После того как бэкдор внедрен в систему, дроппер создает запланированную задачу, которая запускает Mango (или Solar, в другой версии) каждые 14 минут. Наконец, скрипт отправляет имя скомпрометированного компьютера, закодированное в base64, посредством POST-запроса для регистрации бэкдора на его C&C сервере.

Бэкдор Solar

Solar — это бэкдор, использованный в кампании OilRig Outer Space. Обладая базовыми функциями, этот бэкдор может использоваться, среди прочего, для скачивания и выполнения файлов, а также для автоматической эксфильтрации подготовленных файлов.

Мы выбрали название Solar на основе имени файла, использованного OilRig, Solar.exe. Это подходящее название, поскольку бэкдор использует схему астрономических названий для своих имен функций и задач, используемых во всем бинарном файле (Mercury, Venus, Mars, Earth и Jupiter).

Solar начинает выполнение, выполняя шаги, показанные на Рисунке 5.

The backdoor creates two tasks, Earth
and Venus, that run in memory. There is no stop function for either of the two tasks, so they will run indefinitely. Earth
is scheduled to run every 30 seconds and Venus
is set to run every 40 seconds.

Earth — основная задача, отвечающая за большую часть функций Solar. Она обменивается данными с C&C сервером с помощью функции MercuryToSun, которая отправляет базовую информацию о системе и версии вредоносного ПО на C&C сервер, а затем обрабатывает ответ сервера. Earth отправляет на C&C сервер следующую информацию:

• The string (@) <system hostname>; the whole string is encrypted.
• The string 1.0.0.0, encrypted (possibly a version number).
• The string 30000, encrypted (possibly the scheduled runtime of Earth
in milliseconds).

Encryption and decryption are implemented in functions named JupiterE
and JupiterD, respectively. Both of them call a function named JupiterX, which implements an XOR loop as shown in Figure 6.

Ключ генерируется из глобальной строковой переменной, зашитой в код, 6sEj7*0B7#7, и nonce: в данном случае, случайная шестнадцатеричная строка длиной от 2 до 24 символов. После XOR-шифрования применяется стандартное кодирование base64.

Веб-сервер израильской кадровой компании, который OilRig взломала незадолго до развертывания Solar, использовался в качестве C&C сервера:

http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>

Перед добавлением в URI, nonce шифрования шифруется, а значение начального строкового параметра rt устанавливается в d, вероятно, для «download» (скачивание).

The last step of the MercuryToSun
function is to process a response from the C&C server. It does so by retrieving a substring of the response, which is found between the characters QQ@ and @kk. This response is a string of instructions separated by asterisks (*) that is processed into an array. Earth
then carries out the backdoor commands, which include downloading additional payloads from the server, listing files on the victim’s system, and running specific executables.

Command output is then gzip compressed using the function Neptune
and encrypted with the same encryption key and a new nonce. Then the results are uploaded to the C&C server, thus:

http://organization.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>

MachineGuid and the new nonce are encrypted with the JupiterE
function, and here the value of rt is set to u, likely for “upload”.

Venus, другая запланированная задача, используется для автоматической эксфильтрации данных. Эта небольшая задача копирует содержимое файлов из каталога (также названного Venus) на C&C сервер. Эти файлы, вероятно, помещаются сюда каким-то другим, пока не идентифицированным инструментом OilRig. После загрузки файла задача удаляет его с диска.

Бэкдор Mango

Для своей кампании Juicy Mix OilRig перешла от бэкдора Solar к Mango. Он имеет схожий рабочий процесс с Solar и перекрывающиеся возможности, но тем не менее есть несколько заметных отличий:

• Use of TLS for C&C communications.
• Use of native APIs, rather than .NET APIs, to execute files and shell commands.
• Although not actively used, detection evasion code was introduced.
• Support for automated exfiltration (Venus
in Solar) has been removed; instead, Mango supports an additional backdoor command for exfiltrating selected files.
• Support for log mode has been removed, and symbol names have been obfuscated.

В отличие от астрономической схемы именования Solar, Mango обфусцирует имена своих символов, как видно на Рисунке 7.

Помимо обфускации имен символов, Mango также использует метод стекирования строк (как показано на Рисунке 8) для обфускации строк, что затрудняет использование простых методов обнаружения.

Similar to Solar, the Mango backdoor starts by creating an in-memory task, scheduled to run indefinitely every 32 seconds. This task communicates with the C&C server and executes backdoor commands, similar to Solar’s Earth
task. While Solar also creates Venus, a task for automated exfiltration, this functionality has been replaced in Mango by a new backdoor command.

В основной задаче Mango сначала генерирует идентификатор жертвы, <victimID>, для использования в C&C коммуникациях. ID вычисляется как MD5-хеш <machine name><username>, отформатированный как шестнадцатеричная строка.

Для запроса команды бэкдора Mango отправляет строку d@<victimID>@<machine name>|<username> на C&C сервер http://www.darush.co[.]il/ads.asp — легитимный израильский портал вакансий, вероятно, взломанный OilRig до этой кампании. Мы уведомили израильскую национальную организацию CERT о взломе.

Тело запроса формируется следующим образом:

• Данные для передачи шифруются XOR с использованием ключа шифрования Q&4g, затем кодируются в base64.
• Псевдослучайная строка длиной от 3 до 14 символов генерируется из этого алфавита (как указано в коде): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
• Зашифрованные данные вставляются в псевдослучайную позицию внутри сгенерированной строки, заключенные между разделителями [@ и @].

Для связи со своим C&C сервером Mango использует протокол TLS (Transport Layer Security), который обеспечивает дополнительный уровень шифрования.

Similarly, the backdoor command received from the C&C server is XOR encrypted, base64 encoded, and then enclosed between [@ and @] within the HTTP response body. The command itself is either NCNT
(in which case no action is taken), or a string of several parameters delimited by
@, as detailed in Table 1, which lists Mango’s backdoor commands. Note that <Arg0> is not listed in the table, but is used in the response to the C&C server.

Таблица 1. Список команд бэкдора Mango

Каждая команда бэкдора обрабатывается в новом потоке, а их возвращаемые значения затем кодируются в base64 и объединяются с другими метаданными. Наконец, эта строка отправляется на C&C сервер с использованием того же протокола и метода шифрования, что описаны выше.

Неиспользуемая техника уклонения от обнаружения

Interestingly, we found an unused detection evasion technique within Mango. The function responsible for executing files and commands downloaded from the C&C server takes an optional second parameter – a process ID. If set, Mango then uses the UpdateProcThreadAttribute
API to set the PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) attribute for the specified process to value: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), as shown in Figure 9.

Цель этой техники — предотвратить загрузку пользовательского кода антивирусными решениями через DLL в этот процесс. Хотя параметр не использовался в проанализированном нами образце, он может быть активирован в будущих версиях.

Версия 1.1.1

Не связанная с кампанией Juicy Mix, в июле 2023 года мы обнаружили новую версию бэкдора Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), загруженную на VirusTotal несколькими пользователями под именем Menorah.exe. Внутренняя версия в этом образце была изменена с 1.0.0 на 1.1.1, но единственное заметное изменение — использование другого C&C сервера: http://tecforsc-001-site1.gtempurl[.]com/ads.asp.

Вместе с этой версией мы также обнаружили документ Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) с вредоносным макросом, который доставляет бэкдор. Рисунок 10 показывает поддельное предупреждение, побуждающее пользователя разрешить макросы для документа, и имитационный контент, который отображается после этого, в то время как вредоносный код выполняется в фоновом режиме.

Рисунок 10. Документ Microsoft Word с вредоносным макросом, который доставляет Mango v1.1.1

Инструменты для постоперационного проникновения

В этом разделе мы рассмотрим набор инструментов для постоперационного проникновения, использованных в кампаниях OilRig Outer Space и Juicy Mix, направленных на скачивание и выполнение дополнительных полезных нагрузок, а также на кражу данных с компрометированных систем.

Загрузчик SampleCheck5000 (SC5k)

SampleCheck5000 (или SC5k) — это загрузчик, используемый для скачивания и выполнения дополнительных инструментов OilRig, примечательный тем, что использует API Microsoft Office Exchange Web Services для C&C коммуникации: злоумышленники создают черновики сообщений в этой учетной записи электронной почты и скрывают в них команды бэкдора. Впоследствии загрузчик входит в ту же учетную запись и анализирует черновики, чтобы получить команды и полезные нагрузки для выполнения.

SC5k использует предопределенные значения — URL Microsoft Exchange, адрес электронной почты и пароль — для входа в удаленный сервер Exchange, но также поддерживает возможность переопределения этих значений с помощью файла конфигурации в текущем рабочем каталоге с именем setting.key. Мы выбрали название SampleCheck5000 на основе одного из адресов электронной почты, который инструмент использовал в кампании Outer Space.

Once SC5k logs into the remote Exchange server, it retrieves all the emails in the Drafts
directory, sorts them by most recent, keeping only the drafts that have attachments. It then iterates over every draft message with an attachment, looking for JSON attachments that contain «data» in the body. It extracts the value from the key data in the JSON file, base64 decodes and decrypts the value, and calls cmd.exe to execute the resulting command line string. SC5k then saves the output of the cmd.exe
execution to a local variable.

На следующем шаге цикла загрузчик сообщает о результатах операторам OilRig, создавая новое сообщение электронной почты на сервере Exchange и сохраняя его как черновик (не отправляя), как показано на Рисунке 11. Аналогичная техника используется для эксфильтрации файлов из локальной папки staging. На последнем шаге цикла SC5k также регистрирует вывод команды в зашифрованном и сжатом формате на диске.

Дампперы данных браузера

It is characteristic of OilRig operators to use browser-data dumpers in their post-compromise activities. We discovered two new browser-data stealers among the post-compromise tools deployed in the Juicy Mix campaign alongside the Mango backdoor. They dump the stolen browser data in the %TEMP% directory into files named Cupdate
and Eupdate
(hence our names for them: CDumper and EDumper).

Оба инструмента — это C#/.NET стилер данных браузера, собирающий куки, историю просмотров и учетные данные из браузеров Chrome (CDumper) и Edge (EDumper). Мы сосредоточим наш анализ на CDumper, поскольку оба стилера практически идентичны, за исключением некоторых констант.

When executed, CDumper creates a list of users with Google Chrome installed. On execution, the stealer connects to the Chrome SQLite Cookies, History
and Login Data databases under %APPDATA%LocalGoogleChromeUser Data, and collects browser data including visited URLs and saved logins, using SQL queries.

The cookie values are then decrypted, and all collected information is added to a log file named C:Users<user>AppDataLocalTempCupdate, in cleartext. This functionality is implemented in CDumper functions named CookieGrab
(see Figure 12), HistoryGrab, and PasswordGrab. Note that there is no exfiltration mechanism implemented in CDumper, but Mango can exfiltrate selected files via a backdoor command.

Как в кампании Outer Space, так и в более ранней кампании Out to Sea, OilRig использовала дамппер данных Chrome на C/C++, называемый MKG. Как и CDumper и EDumper, MKG также мог красть имена пользователей и пароли, историю просмотров и куки из браузера. Этот дамппер данных Chrome обычно развертывается в следующих расположениях файлов (причем первое расположение является наиболее распространенным):

• 
  %USERS%publicprogramsvmwaredir<random_14_character_string>mkc.exe
• %USERS%PublicM64.exe

Стилер Windows Credential Manager

Besides browser-data dumping tools, OilRig also used a Windows Credential Manager stealer in the Juicy Mix campaign. This tool steals credentials from Windows Credential Manager, and similar to CDumper and EDumper, stores them in the %TEMP% directory – this time into a file named IUpdate
(hence the name IDumper). Unlike CDumper and EDumper, IDumper is implemented as a PowerShell script.

Как и в случае с инструментами дамппинга браузерных данных, для OilRig не является редкостью сбор учетных данных из Windows Credential Manager. Ранее операторы OilRig были замечены за использованием VALUEVAULT, общедоступного, инструмента для кражи учетных данных, написанного на Go (см. кампанию HardPass 2019 года и кампанию 2020 года), для той же цели.

Заключение

OilRig продолжает внедрять инновации и создавать новые импланты с функциями, схожими с бэкдорами, находя новые способы выполнения команд на удаленных системах. Группа улучшила свой бэкдор на C#/.NET Solar из кампании Outer Space, чтобы создать новый бэкдор под названием Mango для кампании Juicy Mix. Группа развертывает набор пользовательских инструментов для постоперационного проникновения, которые используются для сбора учетных данных, куки и истории просмотров из основных браузеров и из Windows Credential Manager. Несмотря на эти инновации, OilRig также продолжает полагаться на устоявшиеся способы получения пользовательских данных.

Если есть вопросы по нашим исследованиям на WeLiveSecurity, пишите на threatintel@eset.com.
ESET Research предлагает закрытые отчеты и фиды данных по APT-угрозам. За подробностями обращайтесь на страницу ESET Threat Intelligence.

IoCs

Файлы

Сеть

Техники MITRE ATT&CK

Эта таблица составлена с использованием версии 13 фреймворка MITRE ATT&CK.

Читать полный анализ на WeLiveSecurity →