Azərbaycan News Agency

APT34, Lyceum və ya Siamesekitten kimi tanınan OilRig qrupu, ümumilikdə İranla əlaqələndirilir və 2014-cü ildən etibarən fəaliyyət göstərən bir siber casusluq qrupu hesab edilir. Qrup, Orta Şərq hökumətlərini, kimya, energetika, maliyyə və kommunikasiya daxil olmaqla müxtəlif sahələri hədəfə götürür.

ESET tədqiqatçıları, İranla əlaqələndirilən OilRig APT (Advanced Persistent Threat) qrupunun iki hücumunu araşdırdı. 2021-ci ildən "Outer Space" və 2022-ci ildən "Juicy Mix". Bu siber casusluq hücumları xüsusilə İsrailli təşkilatları hədəf aldılar. Bu məqsəd, qrupun Orta Şərqə fokuslandığını təsdiq edir və hər ikisi eyni metodları istifadə edirdi. OilRig əvvəlcə əhəmiyyətli bir veb saytın Təhlükəsizlik saxlayan kimi istifadə etmək üçün qanuni bir veb saytın təhlükəsizliyini pozdu və sonra qurbanlarına sənədlənməmiş arxa qapılar təqdim edərək eyni zamanda əsasən hədəf sistemlərindən məlumat oğurlamaq üçün istifadə olunan təhlükəsizlik pozulduqdan sonra alətləri daşıdı. Xüsusilə, Windows Kimlik İnformasiya İdarəçisi və əsas brauzerlərdən, kimlik məlumatlarından, çərəzlərdən və göz atma tarixindən kimlik məlumatlarını toplamaq üçün istifadə edildilər.

OilRig, "Outer Space" hücumunda yeni və təhlükəsiz olmayan C#/.NET arxa qapısına "Solar" adını qoymuş və Microsoft Office Exchange Web Xidmətləri API-dan İndirici olan SampleCheck5000 (və ya SC5k) adlı yeni təqdimçi istifadə etmişdir. Təhlükət aktorları, "Juicy Mix" hücumu üçün Soları inkişaf etdirərək əlavə imkanlara və gizləmə üsullarına sahib Mango arxa qapasını yaratdılar. Hər iki arxa qapa ehtimal ki, məqsədli kimlik avı e-məktubları vasitəsilə yayılan VBS dağıdıcıları tərəfindən istifadə olunurdu. ESET, kötü niyyətli alət qrupunu aşkar etmənə əlavə olaraq, müdafiə pozulduqdan sonra veb saytlarının təhlükəsizliyi haqqında İsrail CERT-ni də xəbərdar etdi.

ESET, funksiyaların və tapşırıqların astronomiya terminlərindən ibarət olduğu bir ad schema istifadə edərək "Solar" adını arxa qapıya verdi. Digər yeni arxa qapının adı, daxili qurğu adı və fayl adına əsaslanaraq "Mango" idi. "Solar" adlı arxa qapı əsas funksiyalara sahibdir. Digər funksiyaların yanı sıra faylları yükləmək və işə salmaq, avtomatik olaraq faylları çıxarmaq üçün istifadə edilə bilər. OilRig Soları aktivləşdirmədən əvvəl İsrailli bir insan resursları şirkətinin veb serverini İcra və Nəzarət serveri kimi istifadə etdi.

OilRig, "Juicy Mix" kampaniyası üçün Solar arxa qapısından Mangoya keçid edirdi. Mango, Solara oxşar iş axışına və örtüşən imkanlara sahib olduqda bəzi əsas texniki dəyişikliklərlə birlikdə gəldi. ESET, Mango-da istifadə edilməyən bir qeyd almaqdan qorunma texnikasını aşkar etdi.