Le groupe de piratage iranien identifié sous le nom d’OilRig (APT34) a piraté au moins douze ordinateurs appartenant à un réseau gouvernemental du Moyen-Orient et a maintenu l’accès pendant huit mois entre février et septembre 2023.
OilRig est lié au ministère iranien du Renseignement et de la Sécurité (Vevak), connu pour ses attaques contre les États-Unis, le Moyen-Orient et l’Albanie.
Les attaques observées par l’équipe de chasseurs de menaces de Symantec, qui fait partie de Broadcom, ont été utilisées pour voler des mots de passe et des données, ainsi que pour installer une porte dérobée PowerShell baptisée ‘Échange de puissance‘, qui acceptait les commandes d’exécution via Microsoft Exchange.
PowerExchange a été documenté pour la première fois en mai 2023 dans un rapport Fortinet attribuant la porte dérobée à APT34, avec des échantillons récupérés des systèmes compromis d’une organisation gouvernementale aux Émirats arabes unis.
Dans les attaques vu par Symantecle logiciel malveillant se connecte à un serveur Exchange à l’aide des informations d’identification fournies et surveille les e-mails entrants à la recherche de « @@ » dans la ligne d’objet, ce qui indique que l’e-mail contient une pièce jointe codée en base64 avec des commandes à exécuter.
Après avoir exécuté les commandes PowerShell arbitraires qui concernent généralement les actions d’écriture ou d’exfiltration de fichiers, le malware déplace les messages vers « Éléments supprimés » pour minimiser la probabilité de détection.
Le résultat des commandes exécutées est ensuite renvoyé par courrier électronique aux acteurs de la menace.
Exchange en tant que porte dérobée dans ces attaques permet aux activités APT34 de se fondre dans le trafic réseau typique et de minimiser le nombre d’implants introduits.
Les autres outils utilisés par APT34 lors de la récente campagne incluent :
- Porte dérobée.Tokel: exécute les commandes PowerShell et télécharge les fichiers.
- Cheval de Troie.Dirps: Énumère les fichiers et exécute les commandes PowerShell.
- Infostealer.Clipog: Vole les données du presse-papiers et capture les frappes.
- Mimikatz: dumper d’informations d’identification.
- Plink: Outil de ligne de commande pour le client PuTTY SSH.
L’attaque a duré neuf mois
Les attaques observées par Symantec ont débuté le 1er février 2023 et utilisent un large éventail de logiciels malveillants, d’outils et d’activités malveillantes qui ont duré 8 mois.
Tout a commencé avec l’introduction d’un script PowerShell (joper.ps1), exécuté plusieurs fois au cours de la première semaine.
Le 5 février, les attaquants ont compromis un deuxième ordinateur du réseau et utilisé une version masquée de Plink (« mssh.exe ») pour configurer l’accès RDP. Le 21 février, l’exécution de la commande ‘netstat /an’ a été observée sur un serveur web.
En avril, OilRigs a compromis deux autres systèmes, en exécutant des fichiers batch inconnus (« p2.bat ») et en déployant Mimikatz pour capturer les informations d’identification.
En juin, les pirates ont exécuté Backdoor.Tokel et PowerExchange sur les machines infectées, marquant le début de la phase principale de l’attaque.
Le mois suivant, les pirates ont déployé TrojanDirps et Infostealer.Clipog et mis en place des tunnels SSH avec Plink.
En août, les pirates ont effectué des analyses Nessus pour détecter les vulnérabilités Log4j et, à la fin du mois, ils ont compromis un deuxième serveur Web en y installant Infostealer.Clipog.
Le 1er septembre, les attaques ont compromis trois autres ordinateurs, utilisant certutil pour télécharger Plink dessus et exécuter des commandes Wireshark sur le deuxième serveur Web pour capturer les paquets de trafic réseau et USB.
Deux autres ordinateurs ont été piratés le 5 septembre, exécutant l’implantation Backdoor.Token sur eux.
L’activité sur le deuxième serveur Web s’est poursuivie jusqu’au 9 septembre 2023, les attaquants exécutant un script PowerShell inconnu (« joper.ps1 ») et effectuant le montage/démontage de partages réseau.
Bien que Symantec affirme avoir observé une activité malveillante sur au moins 12 ordinateurs du réseau de la victime, il existe des preuves que des portes dérobées et des enregistreurs de frappe ont été déployés sur des dizaines d’autres.
En résumé, OilRigs utilise une combinaison d’outils, de scripts et de techniques pour étendre leur accès et maintenir la persistance sur plusieurs systèmes dans un réseau compromis.
Leurs activités combinent reconnaissance (par exemple, commandes netstat), mouvements latéraux (par exemple, Plink pour RDP) et exfiltration/récolte de données (par exemple, Mimikatz, Infostealer.Clipog), ce qui met en évidence les capacités à large spectre du groupe menaçant.
Symantec conclut que même si OilRigs a été confronté à une menace existentielle en 2019 suite à la fuite de ses outils, il ressort clairement de ces longues attaques que les acteurs de la menace restent plus actifs que jamais.