Иранские хакеры используют новый бэкдор для шпионажа за правительствами Ближнего Востока

Исследователи кибербезопасности из ИБ-компании Trend Micro заявляют , что иранская APT-группа OilRig (APT34, Cobalt Gypsy, Europium, and Helix Kitten) продолжает атаковать правительственные организации на Ближнем Востоке в рамках кампании кибершпионажа, которая использует новый бэкдор для кражи данных.

Кампания использует легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые аккаунты, контролируемые злоумышленниками.

Цепочка атаки OilRig

Для отправки данных используется бэкдор на основе .NET, которому поручено доставлять 4 разных файла, включая основной имплантат («DevicesSrv.exe»), эксфильтрующий определенные файлы.

На втором этапе используется файл DLL -библиотеки, который собирает учетные данные пользователей домена и локальных профилей.

Наиболее заметным аспектом бэкдора является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками email-адреса Gmail и Proton Mail. Хакеры отправляют эти электронные письма через правительственные серверы Exchange, используя скомпрометированные легитимные аккаунты.

Эту кампанию специалисты связали с APT34 из-за сходства дропперов первого этапа и бэкдора группы Saitama , виктимологии и использования серверов обмена с выходом в Интернет в качестве метода связи, как это наблюдалось в случае вредоносным ПО Karkoff .

По словам исследователей, несмотря на простоту процедуры, новизна второго и последнего этапов также указывает на то, что вся эта процедура может быть лишь небольшой частью более крупной кампании, нацеленной на правительства.