Für die Suche nach Inhalten geben Sie »Content:« vor den Suchbegriffen ein, für die Suche nach Orten geben Sie »Orte:« oder »Ort:« vor den Suchbegriffen ein. Wenn Sie nichts eingeben, wird in beiden Bereichen gesucht.

 

 

Hackergruppe mit Verbindung zu Iran attackiert Israel seit über einem JahrZoom Button

Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber

Hackergruppe mit Verbindung zu Iran attackiert Israel seit über einem Jahr

Hackergruppe mit Verbindung zu #Iran attackiert #Israel seit über einem Jahr

  • »OilRig« fokussiert Gesundheitssektor, Produktionsunternehmen und lokale Regierungsorganisationen

Jena, PTS, 14. Dezember 2023

Forscher des #IT #Sicherheitsherstellers #ESET haben eine Kampagne der APT Gruppe »OilRig« (auch bekannt als »APT34«, »Lyceum«, »Crambus« oder »Siamesekitten«) aufgedeckt, die seit 2022 lokale Regierungsorganisationen, Produktionsunternehmen und auch den Gesundheitssektor in Israel attackiert. Die mutmaßlich aus Iran stammenden Kriminellen versuchen, in die Netzwerke der israelischen Organisationen einzudringen und sensible Daten zu finden und zu exfiltrieren. Dazu setzt »OilRig« eine Vielzahl an neuen Downloadern wie beispielsweise »SampleCheck5000« (»SC5k« Version 1 bis 3), »OilCheck«, »ODAgent« und »OilBooster« ein. Ungewöhnlich ist der Verbreitungsweg: Die #Hackergruppe verwendet legitime #Cloud Service Anbieter für die Kommando  und Kontrollkommunikation (C & C) und die Datenexfiltration. Dazu gehören Microsoft #Graph »OneDrive«, #Outlook Application Programming Interfaces (APIs) und #Microsoft Office #Exchange Web Services API.

Die Downloader des »OilRig« Toolsets, einschließlich »SC5k« und »OilCheck«, sind nicht besonders ausgereift. Laut der ESET Forscherin Zuzana Hromcová, die die Malware gemeinsam mit ESET Forscher Adam Burgher analysiert hat, ist »OilRig« eine Gruppe, vor der man sich in Acht nehmen sollte. Sie entwickeln kontinuierlich neue Varianten, experimentieren mit verschiedenen Cloud Diensten und Programmiersprachen und versuchen ständig, ihre Ziele zu kompromittieren.

Gemäß ESET #Telemetrie schränkte »OilRig« den Einsatz seiner Downloader auf eine geringe Anzahl von Zielen ein. Interessanterweise wurden diese bereits Monate zuvor von anderen »OilRig« Tools angegriffen. Da es in Unternehmen üblich ist, auf #Office 365 Ressourcen zuzugreifen, kann »OilRig« die mit Cloud Diensten betriebenen Downloader leichter in den regulären Netzwerkverkehr integrieren.

Die Spur führt mit hoher Wahrscheinlichkeit zu »OilRig«

ESET führt »SC5k« (Version 1 bis 3), »OilCheck«, »ODAgent« und »OilBooster« mit hoher Wahrscheinlichkeit auf »OilRig« zurück. Diese Downloader weisen Ähnlichkeiten mit den Backdoors MrPerfectionManager und PowerExchange auf, die erst kürzlich dem »OilRig« Toolset hinzugefügt wurden und E Mail basierte C & C Protokolle verwenden. Der Unterschied besteht darin, dass »SC5k«, »OilBooster«, »ODAgent« und »OilCheck« nicht die interne Infrastruktur des Opfers nutzen, sondern von den Angreifern kontrollierte Cloud Service Konten.

Wiederholte Angriffe auf dieselben Ziele

Der »ODAgent« Downloader wurde im Netzwerk eines Fertigungsunternehmens in Israel entdeckt. Interessanterweise war dasselbe Unternehmen zuvor von dem »OilRig« Downloader »SC5k« und später von einem weiteren neuen Downloader, »OilCheck«, zwischen April und Juni 2022 betroffen. Obwohl sie ähnliche Funktionen wie »ODAgent« haben, nutzen sie Cloud basierte E Mail Dienste für ihre C & C Kommunikation. Im Jahr 2022 wiederholte sich dieses Muster mehrmals. Dabei wurden neue Downloader in den Netzwerken früherer »OilRig« Ziele eingesetzt. Zwischen Juni und August 2022 wurden die Downloader »OilBooster«, »SC5k« Version 1 und »SC5k« Version 2 sowie die #Backdoor #Shark entdeckt. Diese waren alle im Netzwerk einer lokalen Regierungsorganisation in Israel installiert. Später entdeckte ESET eine weitere Version von »SC5k« (Version 3) im Netzwerk einer israelischen #Gesundheitsorganisation, die ebenfalls ein früheres Opfer von »OilRig« war.

Über »OilRig«

»OilRig«, auch bekannt als »APT34«, »Lyceum«, »Crambus« oder »Siamesekitten«, ist eine Cyberspionagegruppe, die seit mindestens 2014 aktiv ist. Ihr Sitz wird im #Iran vermutet. Die Gruppe zielt auf Regierungen und eine Vielzahl von Wirtschaftssektoren – darunter #Chemie, #Energie, #Finanzen und #Telekommunikation – im #Nahen #Osten ab.

Eine detaillierte Analyse haben die ESET Forscher auf dem Security Blog »welivesecurity.de« veröffentlicht.

Content bei Gütsel Online …

 
Gütsel
Termine und Events

Veranstaltungen
nicht nur in Gütersloh und Umgebung

November 2024
So Mo Di Mi Do Fr Sa
12
3456789
10111213141516
17181920212223
24252627282930
Dezember 2024
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
293031
Februar 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
232425262728
September 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
282930
November 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30
Dezember 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
28293031
Februar 2026
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
September 2026
So Mo Di Mi Do Fr Sa
12345
6789101112
13141516171819
20212223242526
27282930
Oktober 2026
So Mo Di Mi Do Fr Sa
123
45678910
11121314151617
18192021222324
25262728293031
November 2042
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30