×
ItalianoEnglish
Set as default language

Grandangolo Communications

  • Home
  • Company
  • Services
    • Public Relation
    • Digital PR
    • Marketing
    • Lead Generation
    • Events
  • Best Practice
  • Customer Press Room
  • Contacts
  • Languages
  • Home
  • Customer Press Room
  • Eset
  • ESET reveals OilRig attacks on Israeli organizations

Customer Press Room

ESET reveals OilRig attacks on Israeli organizations

by Grandangolo Communications / Wednesday, 17 January 2024 / Published in Eset

Il gruppo APT filo iraniano ha sviluppato e utilizzato attivamente per tutto il 2022 una serie di downloader alimentati da servizi cloud

Researchers of ESET, leader europeo globale nel mercato della cybersecurity, hanno individuato una serie crescente di nuovi downloader di OilRig che il gruppo ha utilizzato in diverse campagne nel corso del 2022 per mantenere l’accesso a organizzazioni target di particolare interesse, tutte situate in Israele. Tra queste, un’organizzazione del settore sanitario, un’azienda manifatturiera e un’organizzazione governativa locale. OilRig è un gruppo APT che si ritiene abbia sede in Iran e le sue operazioni, come questi ultimi downloader, sono finalizzate al cyberspionaggio. I nuovi downloader – SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster – si distinguono per l’utilizzo di servizi legittimi di cloud storage e di e-mail basati su cloud per le comunicazioni di command and control (C&C) e l’esfiltrazione dei dati, in particolare le Application Programming Interfaces (API) di Microsoft Graph OneDrive o Outlook e l’API di Microsoft Office Exchange Web Services.

“Come il resto dei tool di OilRig, questi downloader non sono particolarmente sofisticati. Tuttavia, il continuo sviluppo e test di nuove varianti, la sperimentazione di vari servizi cloud e di diversi linguaggi di programmazione, e la determinazione a compromettere gli stessi obiettivi più volte, fanno di OilRig un gruppo da tenere sotto controllo”, afferma Zuzana Hromcová, ricercatrice ESET, che ha analizzato il malware insieme al collega Adam Burgher.

ESET attribuisce con un alto livello di probabilità a OilRig i downloader SC5k (v1-v3), OilCheck, ODAgent e OilBooster. Questi tools condividono analogie con le backdoor MrPerfectionManager e PowerExchange – altre recenti aggiunte al set di strumenti di OilRig che utilizzano protocolli C&C basati su e-mail – con la differenza che i 4 downolader utilizzano account di servizi cloud controllati dall’aggressore anziché l’infrastruttura interna della vittima.

Il downloader ODAgent è stato rilevato nella rete di un’azienda manifatturiera in Israele – è interessante notare come la stessa organizzazione sia stata precedentemente colpita dal downloader SC5k di OilRig e successivamente da OilCheck, tra aprile e giugno 2022. SC5k e OilCheck hanno capacità simili a quelle di ODAgent, ma utilizzano servizi di posta elettronica basati sul cloud per le comunicazioni C&C. Nel corso del 2022, ESET ha osservato che lo stesso schema si è ripetuto in più occasioni, con l’implementazione di nuovi downloader nelle reti dei precedenti obiettivi di OilRig. Ad esempio, tra giugno e agosto 2022, ESET ha intercettato i downloader OilBooster, SC5k v1 e SC5k v2 e la backdoor Shark, tutti nella rete di un’organizzazione governativa locale in Israele. Successivamente, ESET ha registrato un’altra versione di SC5k (v3) nella rete di un’organizzazione sanitaria israeliana, anch’essa già vittima di OilRig.

Secondo i rilevamenti della telemetria di ESET, il gruppo APT ha utilizzato questi downloader solo contro un numero limitato di obiettivi, e tutti sono stati bersagliati in modo persistente mesi prima da altri tools di OilRig. Poiché è comune per le organizzazioni accedere alle risorse di Office 365, i downloader di OilRig, alimentati dal servizio cloud, possono confondersi più facilmente nel flusso regolare del traffico di rete – apparentemente è lo stesso motivo per cui gli aggressori hanno scelto di distribuire questi downloader a un piccolo gruppo di obiettivi particolarmente interessanti e ripetutamente presi di mira.

OilRig, noto anche come APT34, Lyceum, Crambus o Siamesekitten, è un gruppo di cyberspionaggio attivo almeno dal 2014 e comunemente ritenuto basato in Iran. Il gruppo prende di mira i governi del Medio Oriente e una serie di settori aziendali, tra cui quello chimico, energetico, finanziario e delle telecomunicazioni.

Per ulteriori informazioni tecniche sugli ultimi downloader di OilRig, consultare il blogpost “OilRig’s persistent attacks using cloud service-powered downloaders” su WeLiveSecurity.com.

About Grandangolo Communications

What you can read next

ESET Threat Report: The versatility of cybercriminals, the return of sextortion and the rise of fraudulent lending apps
ESET presents the projects for the ESET Campus: an innovation and technology hub in the heart of Europe
ESET confirms itself as Champion in Canalys' Global Cybersecurity Leadership Matrix 2023

Customer Press Room

  • VERTIV presents the range of overhead prefabricated infrastructures on a global level, to accelerate the implementation of data centers

    VERTIV ™ Smartrun facilitates installation ...
  • Axiante is a partner of the "Virtual Job Meeting Stem Girls" event

    Participation in the initiative dedicated to ...
  • Vertivia enhances the pre-engineered solution of data centers for EMEA Edge Computing to promote energy efficiency and fastest on-site installations

    La nuova soluzione Vertiv™ SmartAisle&#x...
  • ESET expands the Cyber ​​Threat Intelligence: new feeds and APT reports for companies of all sizes

    Announced at ESET World 2025, the expansion of ...
  • Sentinelone gives a change to the role of partners with the new Global Partnerone Program

    The program provides partners with the tools, ...

Archives

  • April 2025
  • March 2025
  • February 2025
  • January 2025
  • December 2024
  • November 2024
  • October 2024
  • September 2024
  • August 2024
  • July 2024
  • June 2024
  • May 2024
  • April 2024
  • March 2024
  • February 2024
  • January 2024
  • December 2023
  • November 2023
  • October 2023
  • September 2023
  • August 2023
  • July 2023
  • June 2023
  • May 2023
  • April 2023
  • March 2023
  • February 2023
  • January 2023
  • December 2022
  • November 2022
  • October 2022
  • September 2022
  • August 2022
  • July 2022
  • June 2022
  • May 2022
  • April 2022
  • March 2022
  • February 2022
  • January 2022
  • December 2021
  • November 2021
  • October 2021
  • September 2021
  • August 2021
  • July 2021
  • June 2021
  • May 2021
  • April 2021
  • March 2021
  • February 2021
  • January 2021
  • December 2020
  • November 2020
  • October 2020
  • September 2020
  • August 2020
  • July 2020
  • June 2020
  • May 2020
  • April 2020
  • March 2020
  • February 2020
  • January 2020
  • December 2019
  • November 2019
  • October 2019
  • September 2019
  • August 2019
  • July 2019
  • June 2019
  • May 2019
  • April 2019
  • March 2019
  • February 2019
  • January 2019
  • December 2018

Categories

  • A10
  • Abstract
  • abstract
  • Acronis
  • Ally Consulting
  • Arrow
  • Arrow Electronics
  • Axiante
  • Babel
  • Computer Center
  • Cohesity
  • Italy Cloud Consortium
  • Consys
  • D-Link
  • Eset
  • G.B. Service
  • Habble
  • HiSolution
  • HYCU
  • Icos
  • Information Tecnology
  • Ivanti
  • Link11
  • MobileIron
  • Netalia
  • Nethive
  • Nexthink
  • Nuvis
  • Praim
  • QAD
  • Qualys
  • Red Hot Cyber
  • Riverbed
  • Saviynt
  • Sensormatic
  • SentinelOne
  • Talent Software
  • Vectra
  • Vectra AI
  • Vertiv

Office printing, digital PR, marketing, lead generation: all projects are born from our passion and expertise, with an inevitable touch of creativity and innovation.

COMPANY

Grandangolo Communications Srl
Via Sardegna 19
20146 Milano
Telephone +39 335 8283393
info@grandangolo.it

I SERVIZI

  • Home
  • Company
  • Services
  • Best Practice
  • Customer Press Room
  • Contacts
  • Languages

CONTACTS

  • Contacts
  • Cookie policy
  • Privacy policy

© 2019 GRANDANGOLO COMMUNICATIONS SRL | P.IVA IT 06394850967 | All rights reserveD.

Powered by Webpowerplus

TOP