Home Ciberguerra El grupo OilRig, patrocinado por el Estado iraní, implementa tres nuevos programas...

El grupo OilRig, patrocinado por el Estado iraní, implementa tres nuevos programas de descarga de malware

El actor de amenazas patrocinado por el estado iraní conocido como OilRig implementó tres descargadores de malware diferentes a lo largo de 2022 para mantener un acceso persistente a las organizaciones víctimas ubicadas en Israel.

Los tres nuevos descargadores han sido denominados ODAgent, OilCheck y OilBooster por la empresa eslovaca de ciberseguridad ESET. Los ataques también implicaron el uso de una versión actualizada de un conocido descargador de OilRig denominado SampleCheck5000 (o SC5k).

Al utilizar proveedores de servicios en la nube de renombre para la comunicación de comando y control, el objetivo es mezclarse con el tráfico de red auténtico y encubrir la infraestructura de ataque del grupo.

Algunos de los objetivos de la campaña incluyen una organización del sector de la salud, una empresa manufacturera y una organización gubernamental local, entre otros. Se dice que todas las víctimas habían sido atacadas previamente por el actor de amenazas.

El vector de acceso inicial exacto utilizado para comprometer los objetivos no está claro actualmente y no se sabe si los atacantes lograron mantener su punto de apoyo en las redes para implementar estos descargadores en varios momentos en 2022.

OilRig, también conocido como APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo de ciberespionaje iraní que se sabe que está activo desde al menos 2014 y utiliza una amplia gama de malware a su disposición para atacar entidades en Medio Oriente.