Aggiornamenti recenti Settembre 16th, 2024 2:30 PM
Gen 18, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I ricercatori di ESET di Welivesecurity hanno individuato un numero crescente di malware legati a Oilrig, un gruppo APT iraniano attivo dal 2014 e noto per campagne di cyberspionaggio contro diverse organizzazioni israeliane.
I downloader, identificati da ESET come SampleCheck5000, OilCheck, ODAgent e OilBooster, sfruttano diverse API di servizi cloud legittimi per la comunicazione col server C2 e l’esfiltrazione di dati; tra i servizi spiccano Microsoft Graph OnDrive, le API di Outlook e le API di Microsoft Office Exchange Web Services.
Tutti e quattro i malware utilizzano un account email o cloud di Oilrig per scaricare i comandi da eseguire sui dispositivi colpiti ed eventuali payload aggiuntivi, oltre che per inviare l’output dei comandi e i dati rubati; lo stesso account viene utilizzato per diverse vittime.
Il primo downloader sviluppato dal gruppo, il SampleCheck5000, è stato utilizzato per la prima volta nel 2021 nella campagna Outer Space di Oilrig; in seguito, durante tutto il 2022, il gruppo ha sviluppato le varianti del malware e ha cominciato a usarli in diverse campagne, tutte contro realtà israeliane.
Tra gli obiettivi colpiti c’è un’organizzazione del settore sanitario, una compagnia del settore manifatturiero e un’organizzazione governativa locale.
Tutte le varianti del downloader condividono una logica simile ma hanno implementazioni piuttosto diverse tra loro e sono di complessità crescente.
“Poiché è comune per le organizzazioni accedere alle risorse di Office 365, i downloader di OilRig, alimentati dai servizi cloud, possono confondersi più facilmente nel flusso regolare del traffico di rete – apparentemente anche il motivo per cui gli aggressori hanno scelto di distribuire questi downloader a un piccolo gruppo di obiettivi particolarmente interessanti e ripetutamente vittimizzati” specificano i ricercatori di ESET.
I malware sono stati sviluppati per colpire esclusivamente le organizzazioni israeliane, anche più volte nel giro di pochi mesi, e mantenere l’accesso ai sistemi per esfiltrare informazioni sensibili. Nonostante i malware del gruppo non siano particolarmente sofisticati, Oilrig è una minaccia da non sottovalutare per via della sua dedizione a colpire continuamente gli stessi obiettivi e perfezionare le varianti del downloader.
Set 10, 2024 0
Ago 02, 2024 0
Lug 18, 2024 0
Lug 10, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 12, 2024 0
I ricercatori di ReversingLabs hanno identificato alcune...