Le reti del governo iracheno sono state oggetto di target di una campagna di attacchi informatici “elaborata” da un APT dello Stato iraniano chiamato OilRig .
Gli attacchi hanno preso di mira organizzazioni irachene come l’ufficio del Primo Ministro e il Ministero degli Affari Esteri, ha affermato la società di sicurezza informatica Check Point in una nuova analisi.
OilRig, noto anche come APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (in precedenza EUROPIUM) e Helix Kitten, è un gruppo hacker iraniano associato al Ministero dell’intelligence e della sicurezza iraniano (MOIS).
Attivo almeno dal 2014, il gruppo ha una comprovata esperienza nell’esecuzione di attacchi di phishing in Medio Oriente per distribuire una serie di backdoor personalizzate, come Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango e Menorah, per il furto di informazioni.
Il processo di esecuzione inizia controllando se l’intestazione Cookie è presente nelle richieste HTTP in arrivo e legge fino al segno
ha affermato Check Point.
Il parametro principale è F=0/1 che indica se la backdoor inizializza la sua configurazione di comando (F=1) o esegue i comandi in base a questa configurazione (F=0).”
Il modulo IIS dannoso, che rappresenta un’evoluzione di un malware classificato come Gruppo 2 da ESET nell’agosto 2021 e di un altro backdoor IIS APT34 con nome in codice RGDoor ,supporta l’esecuzione di comandi e operazioni di lettura/scrittura di file.
“L’implementazione di un protocollo di tunneling DNS personalizzato e di un canale C2 basato sulla posta elettronica che sfrutta account compromessi evidenzia lo sforzo deliberato degli attori iraniani di sviluppare e mantenere meccanismi di comando e controllo specializzati”.
L’ultima campagna non fa eccezione, in quanto prevede l’uso di una nuova serie di famiglie di malware denominate Veaty e Spearal, dotate della capacità di eseguire comandi PowerShell e raccogliere i file di interesse.
Il set di strumenti utilizzato in questa campagna mirata impiega meccanismi di comand and control (C2) unici, tra cui un protocollo di tunneling DNS personalizzato e un canale C2 basato sulla posta elettronica su misura
ha affermato Check Point
Il canale C2 utilizza account di posta elettronica compromessi all’interno dell’organizzazione presa di mira, il che indica che l’autore della minaccia è riuscito già ad infiltrarsi nelle reti della vittima.
Alcune delle azioni intraprese nell’esecuzione dell’attacco erano coerenti con le tecniche e le procedure (TTP) impiegate da OilRig in passato per portare a termine operazioni simili.
Ciò include l’uso di canali C2 basati su e-mail, sfruttando in modo specifico le caselle di posta elettronica precedentemente compromesse per inviare comandi ed esfiltrare dati. Questo modus operandi è stato comune a diverse backdoor come Karkoff, MrPerfectionManager e PowerExchange.
La catena di attacco viene avviata tramite file ingannevoli mascherati da documenti apparentemente innocui (“Avamer.pdf.exe” o “IraqiDoc.docx.rar”) che, una volta avviati, spianano la strada all’implementazione di Veaty e Spearal. Il percorso di infezione abbia probabilmente coinvolto anche elementi di ingegneria sociale.
I file avviano l’esecuzione di script intermedi di PowerShell o Pyinstaller che, a loro volta, rilasciano gli eseguibili del malware e i relativi file di configurazione basati su XML, che includono informazioni sul server C2.
Il malware Spearal è una backdoor .NET che utilizza il tunneling DNS per la comunicazione [C2]”, ha affermato Check Point. I dati trasferiti tra il malware e il server C2 sono codificati nei sottodomini delle query DNS utilizzando uno schema Base32 personalizzato.
Spearal è progettato per eseguire comandi PowerShell, leggere il contenuto dei file e inviarlo sotto forma di dati codificati in Base32, recuperare dati dal server C2 e scriverli in un file sul sistema.
Scritto anche .NET, Veaty sfrutta le email per le comunicazioni C2 con l’obiettivo finale di scaricare file ed eseguire comandi tramite specifiche caselle di posta appartenenti al dominio gov-iq.net. I comandi consentono di caricare/scaricare file ed eseguire script PowerShell.
Check Point ha affermato che l’analisi dell’infrastruttura dell’autore della minaccia ha portato alla scoperta di un diverso file di configurazione XML, probabilmente associato a una terza backdoor di tunneling SSH.
Ha inoltre identificato una backdoor basata su HTTP, CacheHttp.dll, che prende di mira i server Internet Information Services (IIS) di Microsoft ed esamina le richieste web in arrivo per eventi “OnGlobalPreBeginRequest” ed esegue i comandi quando si verificano.
Il modulo IIS dannoso, che rappresenta un’evoluzione di un malware classificato come Gruppo 2 da ESET nell’agosto 2021 e di un altro backdoor IIS APT34 con nome in codice RGDoor , supporta l’esecuzione di comandi e operazioni di lettura/scrittura di file.
Questa campagna contro le infrastrutture del governo iracheno mette in luce le attività cyber costanti e mirate dell’ iran che opera nella regione
ha affermato la società.
L’implementazione di un protocollo di tunneling DNS personalizzato e di un canale C2 basato sulla posta elettronica che sfrutta account compromessi evidenzia lo sforzo deliberato degli attori iraniani di sviluppare e mantenere meccanismi di cocomad and control ben definiti.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK https://amzn.eu/d/6dcujGr
@EBOOK (English version) https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ