Arab News Agency

مجموعة APT34 أو OilRig، المعروفة أيضًا باسم Lyceum أو Siamesekitten، هي مجموعة تجسس سيبراني تُعتقد عمومًا أنها مرتبطة بإيران وتعمل على الأقل منذ عام 2014. تستهدف المجموعة حكومات الشرق الأوسط ومختلف القطاعات بما في ذلك الكيمياء والطاقة والمالية والاتصالات.

قام باحثو ESET بدراسة هجومين نفذتهما مجموعة OilRig APT ذات الصلة بإيران، وهما هجوم "Outer Space" من عام 2021 وهجوم "Juicy Mix" من عام 2022. كان كل من هذين الهجومين استهدافًا خاصًا لمؤسسات إسرائيلية. هذا التركيز يؤكد على أن المجموعة متخصصة في الشرق الأوسط واستخدمت نفس الأساليب. قامت OilRig بالاستيلاء أولاً على أمان موقع ويب قانوني لاستخدامه كخادم تحكم ومن ثم قدمت بوابات خلفية غير موثقة لضحاياها، بالإضافة إلى توزيع أدوات انتهاك الأمان المستخدمة بشكل رئيسي لسرقة البيانات من الأنظمة المستهدفة. تم استخدامها بشكل رئيسي لجمع معلومات الهويات من مديري الهويات في ويندوز والمتصفحات الرئيسية والملفات وملفات تعريف الارتباط وسجل التصفح.

استخدمت OilRig في هجوم "Outer Space" بوابة خلفية بسيطة جديدة غير موثقة باسم Solar ومنظمة تنزيل جديدة باسم SampleCheck5000 (أو SC5k) تستخدم واجهة برمجة تطبيقات ميكروسوفت أوفيس لخدمات البريد الإلكتروني للتحكم والتواصل. ثم قام مهاجمو التهديد بتطوير بوابة خلفية أخرى باسم Mango مع إمكانيات إضافية وأساليب إخفاء مشتركة مع Solar لهجوم "Juicy Mix". تم اكتشاف تقنية تجنب تسجيل الملاحظة في Mango والتي لم يتم استخدامها في Mango بوجه عام.

قال أحد الباحثين في ESET الذين قاموا بتحليل هجومي OilRig: "الهدف من هذه التقنية هو منع حلول الأمان على أجهزة النهاية من تثبيت خطافات رمز الوضع المستخدمة في هذه العملية عبر مكتبة ديناميكية برمجية. على الرغم من أنه لم يتم استخدام معلمة في العينة التي تم تحليلها، يمكن تمكينها في الإصدارات المستقبلية."

استخدمت ESET مخططًا لأسماء الوظائف والمهام يستند إلى مصطلحات الفلكية لتسمية البوابة الخلفية باسم "Solar". أما البوابة الخلفية الجديدة فقد تم تسميتها "Mango" استنادًا إلى السياق الداخلي واسم الملف. تعمل بوابة Solar على الأساس الأساسي ويمكن استخدامها لتنزيل الملفات وتشغيلها واستخراج الملفات تلقائيًا. تم استخدام خادم ويب لشركة إسرائيلية للموارد البشرية كخادم تحكم قبل تنشيط Solar من قب ل OilRig.