×
ItalianoEnglish
Set as default language

Grandangolo Communications

  • Home
  • Company
  • Services
    • Public Relation
    • Digital PR
    • Marketing
    • Lead Generation
    • Events
  • Best Practice
  • Customer Press Room
  • Contacts
  • Languages
  • Home
  • Customer Press Room
  • Eset
  • ESET reveals OilRig attacks on Israeli organizations

Customer Press Room

ESET reveals OilRig attacks on Israeli organizations

by Grandangolo Communications / Wednesday, 17 January 2024 / Published in Eset

Il gruppo APT filo iraniano ha sviluppato e utilizzato attivamente per tutto il 2022 una serie di downloader alimentati da servizi cloud

Researchers of ESET, leader europeo globale nel mercato della cybersecurity, hanno individuato una serie crescente di nuovi downloader di OilRig che il gruppo ha utilizzato in diverse campagne nel corso del 2022 per mantenere l’accesso a organizzazioni target di particolare interesse, tutte situate in Israele. Tra queste, un’organizzazione del settore sanitario, un’azienda manifatturiera e un’organizzazione governativa locale. OilRig è un gruppo APT che si ritiene abbia sede in Iran e le sue operazioni, come questi ultimi downloader, sono finalizzate al cyberspionaggio. I nuovi downloader – SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent e OilBooster – si distinguono per l’utilizzo di servizi legittimi di cloud storage e di e-mail basati su cloud per le comunicazioni di command and control (C&C) e l’esfiltrazione dei dati, in particolare le Application Programming Interfaces (API) di Microsoft Graph OneDrive o Outlook e l’API di Microsoft Office Exchange Web Services.

“Come il resto dei tool di OilRig, questi downloader non sono particolarmente sofisticati. Tuttavia, il continuo sviluppo e test di nuove varianti, la sperimentazione di vari servizi cloud e di diversi linguaggi di programmazione, e la determinazione a compromettere gli stessi obiettivi più volte, fanno di OilRig un gruppo da tenere sotto controllo”, afferma Zuzana Hromcová, ricercatrice ESET, che ha analizzato il malware insieme al collega Adam Burgher.

ESET attribuisce con un alto livello di probabilità a OilRig i downloader SC5k (v1-v3), OilCheck, ODAgent e OilBooster. Questi tools condividono analogie con le backdoor MrPerfectionManager e PowerExchange – altre recenti aggiunte al set di strumenti di OilRig che utilizzano protocolli C&C basati su e-mail – con la differenza che i 4 downolader utilizzano account di servizi cloud controllati dall’aggressore anziché l’infrastruttura interna della vittima.

Il downloader ODAgent è stato rilevato nella rete di un’azienda manifatturiera in Israele – è interessante notare come la stessa organizzazione sia stata precedentemente colpita dal downloader SC5k di OilRig e successivamente da OilCheck, tra aprile e giugno 2022. SC5k e OilCheck hanno capacità simili a quelle di ODAgent, ma utilizzano servizi di posta elettronica basati sul cloud per le comunicazioni C&C. Nel corso del 2022, ESET ha osservato che lo stesso schema si è ripetuto in più occasioni, con l’implementazione di nuovi downloader nelle reti dei precedenti obiettivi di OilRig. Ad esempio, tra giugno e agosto 2022, ESET ha intercettato i downloader OilBooster, SC5k v1 e SC5k v2 e la backdoor Shark, tutti nella rete di un’organizzazione governativa locale in Israele. Successivamente, ESET ha registrato un’altra versione di SC5k (v3) nella rete di un’organizzazione sanitaria israeliana, anch’essa già vittima di OilRig.

Secondo i rilevamenti della telemetria di ESET, il gruppo APT ha utilizzato questi downloader solo contro un numero limitato di obiettivi, e tutti sono stati bersagliati in modo persistente mesi prima da altri tools di OilRig. Poiché è comune per le organizzazioni accedere alle risorse di Office 365, i downloader di OilRig, alimentati dal servizio cloud, possono confondersi più facilmente nel flusso regolare del traffico di rete – apparentemente è lo stesso motivo per cui gli aggressori hanno scelto di distribuire questi downloader a un piccolo gruppo di obiettivi particolarmente interessanti e ripetutamente presi di mira.

OilRig, noto anche come APT34, Lyceum, Crambus o Siamesekitten, è un gruppo di cyberspionaggio attivo almeno dal 2014 e comunemente ritenuto basato in Iran. Il gruppo prende di mira i governi del Medio Oriente e una serie di settori aziendali, tra cui quello chimico, energetico, finanziario e delle telecomunicazioni.

Per ulteriori informazioni tecniche sugli ultimi downloader di OilRig, consultare il blogpost “OilRig’s persistent attacks using cloud service-powered downloaders” su WeLiveSecurity.com.

About Grandangolo Communications

What you can read next

ESET supports the "Ospedali Riuniti" University Hospital of Foggia in the reorganization of security systems
MITER Engenuity ATT & CK® Evaluations tests ESET's endpoint detection & response capabilities
ESET introduces ESET Cyber ​​Security for macOS v7.3 with native support for ARM processor

Customer Press Room

  • VERTIV presents the Ai Factory of the future in Nvidia GTC Paris during Vivotech 2025

    VERTIV (NYSE: VRT), world leader in the infra ...
  • Vertiv expands the liquid cooling portfolio with scalable solutions for applications AI and HPC

    From today available in Emea, the expanded range ...
  • Sentinelone receives the Customer's Choice 2025 recognition in the Gartner® Peer Insight Report for XDR

    This recognition was attributed only to ...
  • ESET collaborates with international authorities to neutralize Danabot malware

    ESET monitor Danabot since 2018. The malware, off ...
  • Vertiv presents the latest innovations in the field of AI and Customer Insight at the DataCloud Global Congress 2025

    Technological applications of great impact, in ...

Archives

  • June 2025
  • May 2025
  • April 2025
  • March 2025
  • February 2025
  • January 2025
  • December 2024
  • November 2024
  • October 2024
  • September 2024
  • August 2024
  • July 2024
  • June 2024
  • May 2024
  • April 2024
  • March 2024
  • February 2024
  • January 2024
  • December 2023
  • November 2023
  • October 2023
  • September 2023
  • August 2023
  • July 2023
  • June 2023
  • May 2023
  • April 2023
  • March 2023
  • February 2023
  • January 2023
  • December 2022
  • November 2022
  • October 2022
  • September 2022
  • August 2022
  • July 2022
  • June 2022
  • May 2022
  • April 2022
  • March 2022
  • February 2022
  • January 2022
  • December 2021
  • November 2021
  • October 2021
  • September 2021
  • August 2021
  • July 2021
  • June 2021
  • May 2021
  • April 2021
  • March 2021
  • February 2021
  • January 2021
  • December 2020
  • November 2020
  • October 2020
  • September 2020
  • August 2020
  • July 2020
  • June 2020
  • May 2020
  • April 2020
  • March 2020
  • February 2020
  • January 2020
  • December 2019
  • November 2019
  • October 2019
  • September 2019
  • August 2019
  • July 2019
  • June 2019
  • May 2019
  • April 2019
  • March 2019
  • February 2019
  • January 2019
  • December 2018

Categories

  • A10
  • abstract
  • Abstract
  • Acronis
  • Ally Consulting
  • Arrow
  • Arrow Electronics
  • Axiante
  • Babel
  • Computer Center
  • Cohesity
  • Italy Cloud Consortium
  • Consys
  • D-Link
  • Eset
  • G.B. Service
  • Habble
  • HiSolution
  • HYCU
  • Icos
  • Information Tecnology
  • Ivanti
  • Link11
  • MobileIron
  • Netalia
  • Nethive
  • Nexthink
  • Nuvis
  • Praim
  • QAD
  • Qualys
  • Red Hot Cyber
  • Riverbed
  • Saviynt
  • Sensormatic
  • SentinelOne
  • Talent Software
  • Vectra
  • Vectra AI
  • Vertiv

Office printing, digital PR, marketing, lead generation: all projects are born from our passion and expertise, with an inevitable touch of creativity and innovation.

COMPANY

Grandangolo Communications Srl
Via Sardegna 19
20146 Milano
Telephone +39 335 8283393
info@grandangolo.it

I SERVIZI

  • Home
  • Company
  • Services
  • Best Practice
  • Customer Press Room
  • Contacts
  • Languages

CONTACTS

  • Contacts
  • Cookie policy
  • Privacy policy

© 2019 GRANDANGOLO COMMUNICATIONS SRL | P.IVA IT 06394850967 | All rights reserveD.

Powered by Webpowerplus

TOP