· ATK40
· ATK58
· CLAYSLIDE
· CRAMBUS
· HELIX KITTEN
· HELMINTH
· IRN2
· OILRIG
· TWISTED KITTEN
Hedef Aldıkları Sektörler: Havacılık, Eğitim, Enerji, Finansal Hizmetler, Devlet Kurumları, İleri Teknoloji
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
APT34, (OilRig), 2014'ten beri özellikle Orta Doğu bölgesinde faaliyet gösteren İranlı bir siber casusluk tehdit aktörüdür. Grup, öncelikli olarak Sünni Körfez Ülkelerinin mali kurumlarını, ABD ve İsrail’i hedefliyor. FireEye ve PaloAlto'nun ilk raporundan sonra, grup aktif olarak araçlarını güncelliyor ve hedeflerinin kapsamını genişletiyor (Katar, Türkiye).
Grup 2017'nin başlarında, sahte web siteleri (Oxford Üniversitesi konferans kayıt sayfası ve bir iş başvurusu web sitesi) aracılığıyla yayılan dijital olarak imzalanmış kötü amaçlı yazılımları kullanma becerisini gösterdi.
PaloAlto, OilRig tarafından kullanılan C&C IP adresinde ve Chafer tarafından Remexi arka kapı C&C için kullanılan C&C IP adresinde bir örtüşme gözlemledi ve bu grupların tek bir varlık olduğunu veya kaynakları paylaştıklarını öne sürdü. Ayrıca, OilRig tarafından kullanılan kötü amaçlı yazılım ISMAgent ile GreenBug tarafından kullanılan ISMDoor (ATK59) arasındaki benzerlik, bu gruplar arasında bir bağlantı olduğunu göstermektedir.
DragoS, ATK40 (OilRig) ve ATK59'un (Greenbug) aynı tehdit grubu olduğunu ve Shamoon olayından önce ilk hazırlıkları ve ağa izinsiz girişi gerçekleştirdiğini düşünüyor. Bu grup, kötü amaçlı yazılımlarının hangi içeriğinin algılandığını belirlemek için düzenli olarak VirusTotal gibi anti-virüs test edicilerinde yazılımlarını test eder. Bu teknik, neredeyse tespit edilmemiş örnekler oluşturmalarına yardımcı olur.
Nisan 2019'da, bir Github deposunda BONDUPDATER, TwoFace WebShell ve web mask ve DNSpionage ile bağlantılı bir araç dahil olmak üzere birden fazla OilRig aracı sızdırıldı.
OilRig altyapısı sürekli büyüyor ancak daha önce kullanılan altyapıyla örtüşüyor. Grup araçlarını yeniden kullanıyor, aynı saldırı protokollerini kullanıyor ve izini sürmeyi kolaylaştıran tutarlı bir kurbanolojiye sahip.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
ALMA Communicator BONDUPDATER CANDYKING Clayslide GOLDIRONY Helminth Jason KEYPUNCH ISMAgent ISMInjector OopsIE POWBAT POWRUNER QUADAGENT RGDoor SEASHARPEE ThreeDollars | CVE-2017-11882 CVE-2017-0199 | ConfuserEx Invoke-Obfuscation Mimikatz Net Netstat PsExec Plink Reg Smart Assembly .NET Obfuscator SoftPerfect Network Scanner Tasklist |
Hedef Aldığı Ülkeler: Türkiye, Azerbaycan, İsrail, Kuveyt, Lübnan, Mauritius, Katar, Suudi Arabistan, ABD, Birleşik Arap Emirlikleri
Kampanyalar
2015- Ekim 2016- Orta Doğu'daki birçok kuruluşa gönderilen kötü amaçlı ekler içeren e-posta dalgası: Mayıs 2016'nın ilk haftasında, FireEye ve PaloAlto, Suudi Arabistan'daki birçok banka ve teknoloji kuruluşuna gönderilen zararlı bağlantılar içeren bir e-posta dalgası belirledi. Ekim 2016'da PaloAlto, Clayslide ve Helminth'in gelişimini gözlemledi. Grup, Katar gibi diğer ülkelerdeki kuruluşları ve İsrail, Türkiye ve ABD'deki hükümet kuruluşlarını hedef almaya başladı.
2016 - OilRig, İsrail kuruluşlarını hedef alan sahte bir VPN Web Portalı kurdu.
Nisan 2017 - Çok sayıda İsrailli kuruluşa karşı siyasi amaçlı, hedefe yönelik kampanya yürütülmüştür.
Temmuz 2017 - Temmuz 2017'de PaloAlto, Ağustos 2016 kampanyası sırasında zaten hedef alınan bir Orta Doğu teknoloji kuruluşunu hedef alan bir saldırı gözlemledi.( ISMAgent’ın iletildiği hedefli saldırılar)
Ağustos 2017 - ISMAgent'ı Birleşik Arap Emirlikleri hükümeti içindeki bir kuruluşa iletmek için ISMInjector'ın kullanılması: Ağustos 2017'de PaloAlto, OilRig tarafından geliştirilen ISMInjector adlı yeni bir trojan keşfetti. Bu kötü amaçlı yazılım, Birleşik Arap Emirlikleri hükümetindeki bir kuruluşu hedefleyen bir kampanya sırasında kullanıldı.
Ocak 2018 - Orta Doğu'da bulunan bir sigorta acentesine OopsIE ve ThreeDollars dökümanları kullanılarak saldırı gerçekleştirildi: PaloAlto, 8 Ocak 2018'de Orta Doğu'da bir sigorta acentesine yönelik bir saldırı gözlemledi, ardından bu saldırıyı 16 Ocak'ta bir finans kuruluşuna yapılan saldırı izledi. İkinci organizasyon daha önce Ocak 2017'de hedef alınmıştı.
Mayıs – Haziran 2018 - QUADAGENT: PaloAlto, Mayıs ve Haziran 2018 arasında, Orta Doğu'daki bir devlet kurumuna yönelik OilRig saldırılarını gözlemledi. Bu saldırılar, biri bir teknoloji hizmeti sağlayıcısına ve diğeri başka bir devlet kurumuna yönelikti.
2018 Yaz - CrowdStrike, 2018 yazında, OilRig'in Bahreyn ve Kuveyt'te bulunduğu anlaşılan varlıkları hedeflediğini gözlemledi.
Kasım 2018 – Telekomünikasyon sektörüne saldırı: Kasım 2018'de CrowdStrike, OilRig'in telekomünikasyon sektörünü hedeflediğini gözlemledi. Bilinen TTP'sini kullanırken, bu aktivite hedeflemede bir değişikliği temsil ediyordu. Bu saldırının başka bir operasyonu desteklemek için geldiğini varsayabiliriz.
Taktik ve Teknikler (MITRE ATT&CK Framework)
Reconnaissance
Resource Development
Initial Access
T1078 - Valid Accounts
T1133 - External Remote Services
T1566.002 – Phishing: Spearphishing Link
T1566.001 – Phishing: Spearphishing Attachment
T1566.003 - Spearphishing via Service
Execution
T1047 - Windows Management Instrumentation
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059 - Command and Scripting Interpreter
T1059 - Scripting
T1059.001 - Command and Scripting Interpreter: PowerShell
T1204 - User Executio
T1223 - Compiled HTML File
Persistence
T1053.005 – Scheduled Task/Job: Scheduled Task
T1078 - Valid Accounts
T1505.003 - Server Software Component: Web Shell
T1133 - External Remote Services
Privilege Escalation
T1053.005 – Scheduled Task/Job: Scheduled Task
T1078 - Valid Accounts
T1505.003 - Server Software Component: Web Shell
Defense Evasion
T1027 - Obfuscated Files or Information
T1059 - Scripting
T1027.005 - Obfuscated Files or Information: Indicator Removal from Tools
T1078 - Valid Accounts
T1070.004 - Indicator Removal on Host: File Deletion
T1140 - Deobfuscate/Decode Files or Information
T1223 - Compiled HTML File
Credential Access
T1003 – OS Credential Dumping
T1056 - Input Capture
T1110 - Brute Force
Discovery
T1007 - System Service Discovery
T1012 - Query Registry
T1016 - System Network Configuration Discovery
T1033 - System Owner/User Discovery
T1046 - Network Service Scanning
T1049 - System Network Connections Discovery
T1057 - Process Discovery
T1069 - Permission Groups Discovery
T1082 - System Information Discovery
T1087 - Account Discovery
T1201 - Password Policy Discovery
Lateral Movement
T1021 - Remote Services
T1021.001 – Remote Services: Remote Desktop Protocol
T1544 - Remote File Copy
Collection
T1056 - Input Capture
T1113 - Screen Capture
T1119 - Automated Collection
Command and Control
T1008 - Fallback Channels
T1032 - Standard Cryptographic Protocol
T1071 - Application Layer Protocol
T1544 - Remote File Copy
Exfiltration
T1048 - Exfiltration Over Alternative Protocol
0 Yorumlar