İran bağlantılı OilRig grubu, İsrailli hedeflere yönelik yeni saldırılarında kimlik bilgilerini toplamak için yeni kötü amaçlı yazılım kullanıyor.
Siber güvenlik şirketi ESET, İran bağlantılı OilRig grubunun, İsrailli kuruluşları hedef alan iki yeni siber saldırı gerçekleştirdiğini ortaya koydu.
2021’den Outer Space ve 2022’den Juicy Mix olarak adlandırılan bu saldırılar, her ikisi de İsrailli hükümetleri, kimya, enerji, finans ve telekomünikasyon sektörlerini hedef aldı.
OilRig, saldırılarında önce bir yasal web sitesinin güvenliğini ihlal ederek bu siteyi C&C sunucusu olarak kullandı. Daha sonra, kurbanlarına belgelenmemiş arka kapılar ve güvenlik ihlali sonrası araçlar dağıttı.
Bu araçlar, Windows Kimlik Bilgisi Yöneticisi’nden ve başlıca tarayıcılardan kimlik bilgilerini toplamak için kullanıldı.
OilRig, Outer Space saldırısında, ESET Research’ün Solar adını verdiği basit, daha önce belgelenmemiş bir C#/.NET arka kapısını ve Komut ve Kontrol iletişimi için Microsoft Office Exchange Web Hizmetleri API’sini kullanan yeni bir indirici olan SampleCheck5000 (veya SC5k)’yi kullandı.
Tehdit aktörleri, Juicy Mix saldırısı için Solar’ı geliştirerek ek yeteneklere ve gizleme yöntemlerine sahip Mango arka kapısını oluşturdu.
ESET, kötü amaçlı araç setini tespit etmenin yanı sıra, güvenliği ihlal edilen web siteleri hakkında İsrail CERT’ini de bilgilendirdi.