Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Gen 18, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I ricercatori di ESET di Welivesecurity hanno individuato un numero crescente di malware legati a Oilrig, un gruppo APT iraniano attivo dal 2014 e noto per campagne di cyberspionaggio contro diverse organizzazioni israeliane.
I downloader, identificati da ESET come SampleCheck5000, OilCheck, ODAgent e OilBooster, sfruttano diverse API di servizi cloud legittimi per la comunicazione col server C2 e l’esfiltrazione di dati; tra i servizi spiccano Microsoft Graph OnDrive, le API di Outlook e le API di Microsoft Office Exchange Web Services.
Tutti e quattro i malware utilizzano un account email o cloud di Oilrig per scaricare i comandi da eseguire sui dispositivi colpiti ed eventuali payload aggiuntivi, oltre che per inviare l’output dei comandi e i dati rubati; lo stesso account viene utilizzato per diverse vittime.
Il primo downloader sviluppato dal gruppo, il SampleCheck5000, è stato utilizzato per la prima volta nel 2021 nella campagna Outer Space di Oilrig; in seguito, durante tutto il 2022, il gruppo ha sviluppato le varianti del malware e ha cominciato a usarli in diverse campagne, tutte contro realtà israeliane.
Tra gli obiettivi colpiti c’è un’organizzazione del settore sanitario, una compagnia del settore manifatturiero e un’organizzazione governativa locale.
Tutte le varianti del downloader condividono una logica simile ma hanno implementazioni piuttosto diverse tra loro e sono di complessità crescente.
“Poiché è comune per le organizzazioni accedere alle risorse di Office 365, i downloader di OilRig, alimentati dai servizi cloud, possono confondersi più facilmente nel flusso regolare del traffico di rete – apparentemente anche il motivo per cui gli aggressori hanno scelto di distribuire questi downloader a un piccolo gruppo di obiettivi particolarmente interessanti e ripetutamente vittimizzati” specificano i ricercatori di ESET.
I malware sono stati sviluppati per colpire esclusivamente le organizzazioni israeliane, anche più volte nel giro di pochi mesi, e mantenere l’accesso ai sistemi per esfiltrare informazioni sensibili. Nonostante i malware del gruppo non siano particolarmente sofisticati, Oilrig è una minaccia da non sottovalutare per via della sua dedizione a colpire continuamente gli stessi obiettivi e perfezionare le varianti del downloader.
Dic 11, 2024 0
Nov 12, 2024 0
Ott 08, 2024 0
Ott 01, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...