Iraqi government networks sono stati recentemente bersaglio di una campagna di attacco informatico orchestrata dal gruppo di minaccia sponsorizzato dallo stato iraniano noto come OilRig. Secondo una nuova analisi della società di cybersecurity Check Point, gli attacchi hanno preso di mira organizzazioni irachene come l'Ufficio del Primo Ministro e il Ministero degli Affari Esteri. OilRig, conosciuto anche con nomi come APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm e Helix Kitten, è un gruppo di cyber criminali associato al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS).

Attivo almeno dal 2014, il gruppo ha una lunga storia di attacchi di phishing nel Medio Oriente, utilizzando una varietà di backdoor personalizzate come Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango e Menorah per il furto di informazioni. La campagna più recente non fa eccezione, includendo l'uso di nuove famiglie di malware denominate Veaty e Spearal, che sono capaci di eseguire comandi PowerShell e raccogliere file di interesse.

Lo strumento utilizzato in questa campagna mirata impiega meccanismi di comando e controllo (C2) unici, tra cui un protocollo di tunneling DNS personalizzato e un canale C2 basato su email, ha affermato Check Point. Il canale C2 utilizza account email compromessi all'interno dell'organizzazione bersaglio, indicando che l'attore della minaccia ha infiltrato con successo le reti della vittima.

Alcune delle azioni eseguite dall'attore della minaccia durante e dopo l'attacco sono coerenti con le tattiche, le tecniche e le procedure (TTP) che OilRig ha utilizzato in operazioni simili passate. Questo include l'uso di canali C2 basati su email, sfruttando specificamente le caselle di posta elettronica compromesse per inviare comandi ed esfiltrare dati. Questa modalità operativa è comune a diverse backdoor come Karkoff, MrPerfectionManager e PowerExchange.

La catena di attacco inizia con file ingannevoli che si mascherano da documenti benigni ("Avamer.pdf.exe" o "IraqiDoc.docx.rar") che, una volta avviati, aprono la strada all'installazione di Veaty e Spearal. Il percorso di infezione probabilmente include un elemento di ingegneria sociale. Questi file innescano l'esecuzione di script intermedi PowerShell o Pyinstaller che, a loro volta, rilasciano i file eseguibili del malware e i loro file di configurazione basati su XML, che contengono informazioni sul server C2.

Il malware Spearal è una backdoor .NET che utilizza il tunneling DNS per la comunicazione C2. I dati trasferiti tra il malware e il server C2 sono codificati nei sottodomini delle query DNS utilizzando uno schema Base32 personalizzato. Spearal è progettato per eseguire comandi PowerShell, leggere contenuti dei file e inviarli sotto forma di dati codificati Base32, e recuperare dati dal server C2 scrivendoli in un file sul sistema.

Anche Veaty, scritto in .NET, utilizza le email per le comunicazioni C2 con l'obiettivo finale di scaricare file ed eseguire comandi tramite specifiche caselle di posta appartenenti al dominio gov-iq.net. I comandi consentono di caricare/scaricare file ed eseguire script PowerShell.

Check Point ha rilevato anche un altro file di configurazione XML associato probabilmente a una terza backdoor di tunneling SSH, e un'altra backdoor basata su HTTP, CacheHttp.dll, che prende di mira i server Microsoft Internet Information Services (IIS).