OilRig

OrigenIrã

Técnicas (MITRE ATT&CK)76

FuenteMITRE ATT&CK

También conocido como:COBALT GYPSYIRN2APT34Helix KittenEvasive SerpensHazel SandstormEUROPIUMITG13Earth SimnavazCrambusTA452

Análisis Vexday

OilRig (também referenciado como APT34, COBALT GYPSY, Helix Kitten, Evasive Serpens e Hazel Sandstorm) é um grupo de ameaça persistente avançada de origem iraniana, ativo pelo menos desde 2014, que tem como alvos vítimas no Oriente Médio e em outros países. O grupo atua contra setores variados, incluindo financeiro, governamental, energético, químico e de telecomunicações, e conduz ataques à cadeia de suprimentos para atingir seus alvos primários por meio de relações de confiança entre organizações. Acredita-se que opere em nome do governo iraniano, conclusão baseada em detalhes de infraestrutura com referências ao Irã e em padrões de alvejamento alinhados a interesses de Estado. O MITRE ATT&CK (G0049) documenta 76 técnicas associadas ao grupo, que tem ainda 3 CVEs atribuídas como exploradas em suas operações.

Técnicas (MITRE ATT&CK) 76

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Preparación de recursos

Domains Email Accounts Malware Tool Code Signing Certificates Upload Malware

Acceso inicial

Supply Chain Compromise Spearphishing Attachment Spearphishing Link Spearphishing via Service

Ejecución

Windows Management Instrumentation Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Visual Basic Exploitation for Client Execution Malicious Link Malicious File

Persistencia

External Remote Services Outlook Home Page Web Shell Windows Service

Escalada de privilegios

Exploitation for Privilege Escalation

Acceso a credenciales

LSASS Memory LSA Secrets Cached Domain Credentials Brute Force Credentials In Files Credentials from Password Stores Credentials from Web Browsers Windows Credential Manager

Descubrimiento

System Service Discovery Query Registry System Network Configuration Discovery System Owner/User Discovery Network Service Discovery System Network Connections Discovery Process Discovery Local Groups Domain Groups System Information Discovery Local Account Domain Account Peripheral Device Discovery Password Policy Discovery

Movimiento lateral

Remote Desktop Protocol SSH

Recolección

Data from Local System Data from Removable Media Keylogging Screen Capture Clipboard Data Automated Collection

Comando y control

Fallback Channels Web Protocols DNS Ingress Tool Transfer Remote Access Tools Protocol Tunneling Asymmetric Cryptography

Exfiltración

Exfiltration Over Unencrypted Non-C2 Protocol

defense-impairment

Modify Registry Code Signing Password Filter DLL Windows Host Firewall

stealth

Indicator Removal from Tools Encrypted/Encoded File Masquerading Match Legitimate Resource Name or Location File Deletion Valid Accounts Domain Accounts Deobfuscate/Decode Files or Information Compiled HTML File System Checks

Vulnerabilidades explotadas 3

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2024-30088HIGHEPSS 68%KEV CVE-2017-11774HIGHEPSS 60%KEV CVE-2017-8625EPSS 15%

El grupo OilRig usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →