伊朗国家赞助的黑客组织OilRig一直在发展绕过安全保护的方法。该组织最近为其武器库增加了一个新的后门，以支持其针对中东政府组织的长期间谍活动。

恶意软件的工作原理

攻击感染从一个基于.NET的滴管开始，该滴管负责传递四个不同的文件，每个文件都放在主滴管（称为REDCAP）内的Base64缓冲区中。

该恶意软件能够使用新的过滤技术，即滥用泄露的邮箱帐户，将窃取的数据从内部邮箱过滤到攻击者控制的外部Gmail和Proton Mail帐户。

在某些情况下，威胁参与者使用密码被盗的有效帐户通过政府Exchange服务器发送电子邮件。

最初的后门

名为MrPerfectInstaller的初始滴管提供了四个文件：一个密码过滤器DLL（psgfilter[.]DLL）和一个负责过滤感兴趣的特定文件的主植入程序（DevicesSrv[.]exe）。

文件Microsoft.Exchange.WebServices[.]dll是第二阶段dll文件，能够从域用户和本地帐户获取凭据。

应用程序配置文件（DevicesSrv[.]exe.config）负责.NET执行环境的运行时。

目标国家

Trend Micro的研究人员发现，该活动主要针对中东国家，包括阿联酋、中国、约旦、沙特阿拉伯、卡塔尔、阿曼、科威特、巴林、黎巴嫩和埃及。

OilRig概述

OilRig，又名APT34，至少自2014年以来一直活跃，并以在运营中使用多种工具集而闻名。

在2020年、2021和2022年期间，该集团利用卡考夫、鲨鱼、马林和斋玉等后门进行信息窃取。

结论

OilRig多样化的工具系列突出了其在TTP开发和发展过程中的灵活性和持续努力。随着新的数据过滤技术的实施，该集团现在能够绕过在网络外围实施的任何安全策略。因此，建议用户和组织加强其当前的安全措施，并警惕可能被滥用以进行妥协的媒介。