به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، گروه OilRig همچنان در حال انجام حملات مداوم با استفاده از ابزارها و تکنیکهای شناخته شده علیه نهادهای دولتی در منقطه خاورمیانه است.
در این حملات از ایمیلهای فیشینگ استفاده شده و قربانی با روشهای مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب میشود. در پیوستها نیز از تروجان OopsIE که در فوریه 2018 شناسایی شده، استفاده شده است.
در حملات گروه OilRig، قابلیتهای OopsIE مشابه نسخههای قبلی این تروجان است، اما برخی قابلیتهای مقابله با تحلیل و شناسایی ماشین مجازی در آن بکار گرفته شده است تا سیستمهای دفاعی خودکار دور زده شوند.
پژوهشگران Palo Alto Networks، در جولای 2018 موجی از حملات گروه OilRig را گزارش کردند که با کمک ابزاری به نام QUADAGENT، یک آژانس دولتی مستقر در خاورمیانه را مورد هدف قرار گرفته بود. در این حملات ایمیلهای فیشینگی از آدرسهای به سرقت رفته از سازمان مورد هدف مشاهده شد که به جای QUADAGENT، تروجان OopsIE به عنوان بدنه در آنها منتقل شده است. موضوع ایمیلها با زبان عربی نوشته شده که حاصل ترجمه آن عبارت «آموزش مدیریت مداوم کسبوکار» است.
با توجه به بررسیهای انجام شده، گروههای مورد هدف شامل افرادی هستند که اسناد و مقالاتی را بصورت عمومی در موضوع مدیریت مداوم کسبوکار منتشر کردهاند.
تروجان OopsIE حملات خود را با اجرای چندین عملگر ضدتحلیل و سندباکس آغاز میکند. تروجان عملگرهای بررسی فن پردازنده، بررسی دما، بررسی نشانهگر موس، بررسی دیسک سخت، بررسی مادربورد، بررسی Sandboxie DLL، بررسی VBox DLL، بررسی VMware DLL، بررسی منطقه زمانی (که اطمینان حاصل شود منطقه زمانی قربانی در مناطق خاورمیانه (UTC+2)، عربی (UTC+3)، ایران (UTC+3,5) و غیره باشد و بررسی تعامل انسان را اجرا میکند. در صورتی که بررسیها مطابق پارامترهای تعیین شده در بدافزار نباشد، تروجان بدون انجام فعالیتی خارج میشود.
تروجان OopsIE منتقل شده در این حملات دارای قابلیتهای مشابه نسخه قبلی این بدافزار است. تشابه اصلی استفاده از فعالیتهای زمانبندی شده برای اجرای دستورات به صورت پایدار در سیستم است. همچنین فرایند کلی ارتباط با سرور C&C نیز مشابه نسخه قبلی است. علاوهبر این، مشابه نسخه قبلی، تروجان استفاده شده در این حمله نیز از اشیا مرورگر اینترنت اکسپلورر برای دریافت دستورها استفاده میکند.
با این حال، چندین تفاوت نیز بین این نسخه و نسخه قبلی مشاهده میشود. در نگاه اول، در این نسخه تعداد زیادی از رشتهها مبهمسازی شدهاند. مورد دیگر، تکنیکهای مقابله با محیطهای تحلیل است. برخی تفاوتهای جزئی نیز در کد نسخه جدید مشاهده شده است.
یک تفاوت بارز در مقایسه با نسخه قبلی، نحوه نمایش آدرس سرور C&C است که در این نسخه آدرس سرورها یا پارامترهای موجود در آنها معکوس شدهاند، به دین صورت که chk به khc، what به tahw و resp به pser تبدیل شده است.
در نهایت باید اشاره کرد که گروه OilRig همچنان یک تهدید فعال در منطقه خاورمیانه است. این گروه در تلاش است تا در عین حال که از تکنیکهای مشابه و تکراری استفاده میکند، ابزارهای خود را توسعه دهد و به آنها قابلیتهای بیشتری را اضافه کند. در این موج حمله نیز آنها قابلیتهای ضدتحلیل را به بدافزار خود اضافه کردند. با این حال تاکتیکهای استفاده شده توسط آنها به طور کلی پیشرفته نیست و سازمانها با پیادهسازی رویکردهای ساده امنیتی میتوانند خود را در برابر این تهدید محافظت کنند.