Az OilRig felhőszolgáltatások által támogatott letöltőket alkalmaz
Az ESET kutatói egy sor új, a feltehetően iráni kötödésű OilRig (másnéven APT34, Lyceum, Crambus vagy Siamesekitten) által alkalmazott letöltőt dokumentáltak, amelyek mindegyike legitim felhőszolgáltatókra támaszkodik a C2 kommunikációhoz. Az ESET kutatói az OilRig letöltők egyre növekvő sorozatát elemezték, amelyeket a csoport 2022-ben több kampányban is használt, hogy fenntartsa a hozzáférést a különleges érdeklődésre számot tartó – mind Izraelben található – szervezetekhez. Ezek a “lightweight” letöltők, amelyeket SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent és OilBooster-nek nevezett el az ESET, arról nevezetesek, hogy a C2 kommunikációhoz és az adatszivárogtatáshoz több legitim felhőszolgáltatási API valamelyikét használják: a Microsoft Graph OneDrive vagy Outlook API-kat, valamint a Microsoft Office Exchange Web Services (EWS) API-ját.
A letöltők minden esetben egy közös (e-mail vagy felhőalapú tárhely) OilRig-üzemeltetői fiókot használnak az OilRig-üzemeltetőkkel való üzenetváltáshoz. A letöltők ezt a fiókot használják a parancsok és az üzemeltetők által beállított további hasznos terhek letöltésére, valamint a parancsok kimenetének és a beállított fájlok feltöltésére.
A sorozat legkorábbi tagját, az SC5k (v1) letöltőt 2021 novemberében azonosították, amikor az OilRig Outer Space kampányában használták. Az ESET blogbejegyzése az összes SC5k utódra összpontosít, amelyeket az OilRig 2022 folyamán fejlesztett ki, néhány havonta egy-egy új variációval; közelebbről is megvizsgálják a letöltők által alkalmazott mechanizmusokat. Összehasonlítják ezeket a letöltőket más OilRig backdoorokkal is, amelyek e-mail alapú C2 protokollokat használnak, és amelyekről az év elején a Trend Micro (MrPerfectionManager) és a Symantec (PowerExchange) számolt be.