La organización iraní de hackers OilRig lanzó dos campañas ciberataques dirigidas a entidades israelíes durante 2021 y 2022, según revelaciones de la empresa de ciberseguridad ESET.
Descripción de las campañas: “Outer Space” y “Juicy Mix”
Con el apoyo de ESET, se identificaron dos campañas dirigidas por OilRig. Estas campañas, denominadas “Outer Space” y “Juicy Mix”, capturaron datos de navegación, cookies y credenciales almacenadas en los dispositivos atacados.
En “Outer Space”, OilRig comprometió un sitio de recursos humanos israelí, utilizándolo como medio para obtener información. Esta operación incluyó el uso de una herramienta maliciosa, Solar, que posiblemente se dispersó mediante correos electrónicos fraudulentos.
Una vez que la amenaza se instaló en los dispositivos, los hackers accedieron y extrajeron datos de sus víctimas. ESET destacó el empleo de otra herramienta no identificada que seleccionaba archivos específicos para su sustracción.
“Juicy Mix”: el enfoque en una organización sanitaria
Durante la campaña “Juicy Mix” de 2022, OilRig empleó una táctica sutilmente distinta pero igualmente efectiva. En este caso, se infiltraron en un portal de empleo legítimo israelí para perpetrar el ataque.
El principal objetivo de esta campaña era una entidad sanitaria de Israel. Las herramientas utilizadas permitieron a los hackers acceder a datos de navegadores como Google Chrome y Microsoft Edge, y también del Windows Credential Manager.
Además, se incorporó un software que permitía a OilRig eludir sistemas de ciberseguridad, bloqueando sus mecanismos de detección. A pesar de ello, dicha herramienta no se encontraba activa en las muestras analizadas por ESET.
Descubrimientos recientes y la relación con Albania
En julio de 2023, ESET halló en línea una versión actualizada de la herramienta backdoor usada en “Juicy Mix”. Dicha versión fue encontrada en el sitio de ciberseguridad VirusTotal bajo el nombre de Menorah.exe.
OilRig, también referido como APT34 y otros nombres, no solo ha dirigido sus ataques hacia Israel. En septiembre de 2022, Albania anunció haber sido víctima de estos hackers, los cuales previamente habían atacado a naciones como Arabia Saudí y Emiratos Árabes Unidos.
Informes de Mandiant e IBM sugieren el uso de herramientas como ZEROCLEARE y revelan la probable colaboración de OilRig con otros grupos iraníes en operaciones de ciberataque en el pasado.