OilRig

OrigemIrã

Técnicas (MITRE ATT&CK)76

FonteMITRE ATT&CK

Também conhecido como:COBALT GYPSYIRN2APT34Helix KittenEvasive SerpensHazel SandstormEUROPIUMITG13Earth SimnavazCrambusTA452

Análise Vexday

OilRig (também referenciado como APT34, COBALT GYPSY, Helix Kitten, Evasive Serpens e Hazel Sandstorm) é um grupo de ameaça persistente avançada de origem iraniana, ativo pelo menos desde 2014, que tem como alvos vítimas no Oriente Médio e em outros países. O grupo atua contra setores variados, incluindo financeiro, governamental, energético, químico e de telecomunicações, e conduz ataques à cadeia de suprimentos para atingir seus alvos primários por meio de relações de confiança entre organizações. Acredita-se que opere em nome do governo iraniano, conclusão baseada em detalhes de infraestrutura com referências ao Irã e em padrões de alvejamento alinhados a interesses de Estado. O MITRE ATT&CK (G0049) documenta 76 técnicas associadas ao grupo, que tem ainda 3 CVEs atribuídas como exploradas em suas operações.

Técnicas (MITRE ATT&CK) 76

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos

Domains Email Accounts Malware Tool Code Signing Certificates Upload Malware

Acesso inicial

Supply Chain Compromise Spearphishing Attachment Spearphishing Link Spearphishing via Service

Execução

Windows Management Instrumentation Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Visual Basic Exploitation for Client Execution Malicious Link Malicious File

Persistência

External Remote Services Outlook Home Page Web Shell Windows Service

Escalada de privilégio

Exploitation for Privilege Escalation

Acesso a credenciais

LSASS Memory LSA Secrets Cached Domain Credentials Brute Force Credentials In Files Credentials from Password Stores Credentials from Web Browsers Windows Credential Manager

Descoberta

System Service Discovery Query Registry System Network Configuration Discovery System Owner/User Discovery Network Service Discovery System Network Connections Discovery Process Discovery Local Groups Domain Groups System Information Discovery Local Account Domain Account Peripheral Device Discovery Password Policy Discovery

Movimento lateral

Remote Desktop Protocol SSH

Coleta

Data from Local System Data from Removable Media Keylogging Screen Capture Clipboard Data Automated Collection

Comando e controle

Fallback Channels Web Protocols DNS Ingress Tool Transfer Remote Access Tools Protocol Tunneling Asymmetric Cryptography

Exfiltração

Exfiltration Over Unencrypted Non-C2 Protocol

defense-impairment

Modify Registry Code Signing Password Filter DLL Windows Host Firewall

stealth

Indicator Removal from Tools Encrypted/Encoded File Masquerading Match Legitimate Resource Name or Location File Deletion Valid Accounts Domain Accounts Deobfuscate/Decode Files or Information Compiled HTML File System Checks

Vulnerabilidades exploradas 3

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2024-30088HIGHEPSS 68%KEV CVE-2017-11774HIGHEPSS 60%KEV CVE-2017-8625EPSS 15%

O grupo OilRig usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →