Jaringan pemerintah Irak telah muncul sebagai target kampanye serangan siber “rumit” yang diatur oleh aktor ancaman yang disponsori negara Iran yang disebut Rig minyak.
Serangan tersebut menargetkan organisasi Irak seperti Kantor Perdana Menteri dan Kementerian Luar Negeri, kata perusahaan keamanan siber Check Point dalam analisis baru.
OilRig, juga disebut APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (sebelumnya EUROPIUM), dan Helix Kitten, adalah kelompok cyber Iran yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS).
Aktif setidaknya sejak tahun 2014, kelompok ini memiliki rekam jejak melakukan serangan phishing di Timur Tengah untuk mengirimkan berbagai pintu belakang khusus seperti Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango, dan Menorah untuk pencurian informasi.
Kampanye terbaru tidak terkecuali karena melibatkan penggunaan serangkaian keluarga malware baru yang dijuluki Veaty dan Spearal, yang dilengkapi dengan kemampuan untuk mengeksekusi perintah PowerShell dan memanen file yang menarik.
“Perangkat yang digunakan dalam kampanye tertarget ini menggunakan mekanisme perintah dan kontrol (C2) yang unik, termasuk protokol penyaluran DNS khusus, dan saluran C2 berbasis email yang dibuat khusus,” kata Check Point.
“Saluran C2 menggunakan akun email yang disusupi dalam organisasi yang menjadi target, yang menunjukkan bahwa pelaku ancaman berhasil menyusup ke jaringan korban.”
Beberapa tindakan yang dilakukan pelaku ancaman dalam mengeksekusi serangan, dan setelahnya, konsisten dengan taktik, teknik, dan prosedur (TTP) yang digunakan OilRig saat menjalankan operasi serupa di masa lalu.
Ini termasuk penggunaan saluran C2 berbasis email, khususnya memanfaatkan kotak surat email yang sebelumnya telah disusupi untuk mengeluarkan perintah dan mencuri data. Modus operandi ini umum terjadi pada beberapa backdoor seperti Karkoff, MrPerfectionManager, dan PowerExchange.
Rangkaian serangan dimulai melalui file-file penipuan yang menyamar sebagai dokumen yang tidak berbahaya (“Avamer.pdf.exe” atau “IraqiDoc.docx.rar”) yang, ketika diluncurkan, membuka jalan bagi penyebaran Veaty dan Spearal. Jalur infeksi tersebut kemungkinan besar dikatakan melibatkan unsur rekayasa sosial.
Berkas tersebut memulai eksekusi skrip PowerShell atau Pyinstaller perantara yang, pada gilirannya, membuang eksekusi malware dan berkas konfigurasi berbasis XML-nya, yang menyertakan informasi tentang server C2.
“Malware Spearal adalah backdoor .NET yang memanfaatkan tunneling DNS untuk [C2] “komunikasi,” kata Check Point. “Data yang ditransfer antara malware dan server C2 dikodekan dalam subdomain kueri DNS menggunakan skema Base32 khusus.”
Spearal dirancang untuk menjalankan perintah PowerShell, membaca konten file dan mengirimkannya dalam bentuk data berkode Base32, serta mengambil data dari server C2 dan menuliskannya ke file pada sistem.
Ditulis dalam format .NET, Veaty memanfaatkan email untuk komunikasi C2 dengan tujuan akhir mengunduh file dan menjalankan perintah melalui kotak surat tertentu milik domain gov-iq.net. Perintah tersebut memungkinkannya mengunggah/mengunduh file dan menjalankan skrip PowerShell.
Check Point mengatakan analisisnya terhadap infrastruktur aktor ancaman mengarah pada penemuan file konfigurasi XML berbeda yang kemungkinan terkait dengan pintu belakang tunneling SSH ketiga.
Ia selanjutnya mengidentifikasi pintu belakang berbasis HTTP, CacheHttp.dll, yang menargetkan server Layanan Informasi Internet (IIS) Microsoft dan memeriksa permintaan web yang masuk untuk peristiwa “OnGlobalPreBeginRequest” dan mengeksekusi perintah ketika permintaan itu terjadi.
“Proses eksekusi dimulai dengan memeriksa apakah header Cookie hadir dalam permintaan HTTP yang masuk dan membaca hingga tanda;,” kata Check Point. “Parameter utamanya adalah F=0/1 yang menunjukkan apakah backdoor menginisialisasi konfigurasi perintahnya (F=1) atau menjalankan perintah berdasarkan konfigurasi ini (F=0).”
Modul IIS berbahaya, yang merupakan evolusi dari malware yang diklasifikasikan sebagai Grup 2 oleh ESET pada bulan Agustus 2021 dan backdoor IIS APT34 lain dengan nama sandi RGDoor, mendukung eksekusi perintah dan operasi baca/tulis file.
“Kampanye melawan infrastruktur pemerintah Irak ini menyoroti upaya berkelanjutan dan terfokus dari para aktor ancaman Iran yang beroperasi di kawasan tersebut,” kata perusahaan itu.
“Penerapan protokol tunneling DNS khusus dan saluran C2 berbasis email yang memanfaatkan akun-akun yang disusupi menyoroti upaya yang disengaja oleh para aktor Iran untuk mengembangkan dan memelihara mekanisme perintah-dan-kontrol yang terspesialisasi.”