Sofisticirana kampanja sajber špijunaže koja se pripisuje grupi APT34 (OilRig) koju sponzoriše iranska država ciljala je na iračke vladine subjekte i kritične infrastrukturne sektore od kraja 2024., koristeći nove varijante malicioznog softvera dizajnirane da izbjegnu konvencionalne sigurnosne mjere.
Grupa, aktivna od 2012. godine, proširila je svoj operativni fokus na finansijske institucije i telekomunikacione provajdere širom Bliskog istoka.
Maliciozni softver—distribuisan putem e-mailova za krađu identiteta koji se predstavljaju kao službeni dokumenti iračke vlade— koristi isporuku tereta u više faza i provjere ekološke svijesti kako bi se izbjeglo otkrivanje sandbox-a.
Lanci napada počinju s izvršnim datotekama koje se maskiraju kao PDF datoteke (Ravateb.pdf.exe) koje postavljaju backdoor sposoban i za HTTP i za kompromitovanu komunikaciju naredbe i kontrole (C2) zasnovanu na nalogu e-pošte.
Analitičari ThreatBook-a su identifikovali preko desetak kompromitovanih adresa e-pošte iračke vlade koje se koriste za bočno kretanje, uključujući [email protected] i [email protected] .
Tehnička analiza mehanizama postojanosti i utaje detekcije
Maliciozni softver koristi slojevite tehnike zamagljivanja , počevši od mutacije niza zasnovane na poziciji prije dekodiranja Base64.
Početno opterećenje uklanja specifične indekse znakova (11., 8., 5., 2. i 0. pozicije) prije primjene XOR dešifrovanja pomoću tvrdo kodiranog ključa “felkkf jerf43klt lkg ert#$ T#$t”.
.webp)
Ovaj pristup protiv analize generiše jedinstvene obrasce nizova za svako izvršenje, pobeđujući detekciju statičkog potpisa.
def decode_FromC2(input_str):
if len(input_str) > 12:
input_str = input_str[:12] + input_str[13:]
if len(input_str) > 7:
input_str = input_str[:7] + input_str[8:]
if len(input_str) > 5:
input_str = input_str[:5] + input_str[6:]
if len(input_str) > 2:
input_str = input_str[:2] + input_str[3:]
if len(input_str) > 0:
input_str = input_str[1:]
return xor_base64(input_str)Nakon zaraze, maliciozni softver uspostavlja postojanost putem Windows servisa pod nazivom “MonitorUpdate” koji je konfigurisan sa nasumičnim intervalima izvršavanja između 60-120 minuta.
Proces kreiranja usluge modifikuje vremenske oznake datoteke kako bi odgovarale legitimnim sistemskim binarnim datotekama i implementira višestruke provjere okruženja:-
- Provjerava postojanje najmanje četiri datoteke bez prečica na radnoj površini
- Potvrđuje da vrijeme neprekidnog rada sistema prelazi tri mjeseca
- Provjerava informacije o matičnoj ploči za artefakte virtuelizacije
Uspješna implementacija vodi do C2 komunikacije sa evropskim serverima na portovima 10443/TCP i 8989/TCP, koristeći HTTP krajnje tačke kao što su /resource i /document za eksfiltraciju podataka.
Konfiguracijski fajl malicioznog softvera (windowsObject.exe.config) sadrži modularne postavke za prilagodljive operacije:-
<appSettings>
<add key="P" value="10443" />
<add key="lower_sec" value="60" />
<add key="upper_sec" value="120" />
<add key="I" value="UXClxFCHX11IJEllWXFQHCg==" />
</appSettings>ThreatBook analiza otkriva da APT34 održava operativnu fleksibilnost kroz distribuisanu C2 infrastrukturu koja koristi evropske hosting provajdere, sa identifikovanim čvorovima uključujući 89.46.233.239 (Norveška) i 151.236.17.231 (Njemačka).
Grupa koristi algoritme za generisanje domena kombinujući regionalne ključne reči kao što su “iqwebservice” i “asiacall” kako bi kreirali domene koji izgledaju uverljivo.
Ova kampanja demonstrira kontinuiranu evoluciju APT34 u napadu na finansijske mreže, kombinujući tradicionalno prikupljanje akreditiva sa novim tehnikama kriptografske utaje.
ThreatBook-ova Threat Detection Platform (TDP) i OneDNS usluge trenutno pružaju pokrivenost za povezane indikatore kompromisa, iako adaptivni komunikacijski protokoli malvera zahtijevaju odbranu od analize ponašanja.
Izvor: CyberSecurityNews
