Ενεργή τουλάχιστον από το 2014, η OilRig παρακολουθείται επίσης ως APT34, Helix Kitten και Cobalt Gypsy και πιστεύεται ότι συνδέεται με τους στόχους της ιρανικής κυβέρνησης. Μέχρι σήμερα, ο όμιλος εθεωρείτο να στοχεύει οντότητες στις χημικές, ενεργειακές, χρηματοοικονομικές, κυβερνητικές και τηλεπικοινωνιακές βιομηχανίες.
Στα τέλη Απριλίου 2022, ερευνητές ασφαλείας με Fortinet και Malwarebytes εντόπισαν ένα κακόβουλο έγγραφο του Excel που έστειλε η ομάδα hacking στον Ιορδανό διπλωμάτη και το οποίο είχε σχεδιαστεί για να ρίξει μια νέα κερκόπορτα που ονομάζεται Saitama.
Το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος φέρεται να προήλθε από έναν υπάλληλο του τμήματος πληροφορικής, αλλά στην πραγματικότητα προήλθε εξωτερικά. Η επίθεση εντοπίστηκε αφού ο παραλήπτης προώθησε το μήνυμα στον πραγματικό υπάλληλο πληροφορικής, πιθανότατα σε μια προσπάθεια να επαληθεύσει τη γνησιότητά του.
Το έγγραφο περιείχε μια μακροεντολή σχεδιασμένη για να απορρίπτει την κερκόπορτα Saitama και να ορίζει την επιμονή για αυτήν. Η μακροεντολή κλείνει επίσης το αρχικό φύλλο Excel και ανοίγει ένα νέο που εμφανίζει το εθνόσημο της κυβέρνησης της Ιορδανίας.
Σύμφωνα με ερευνητικές σημειώσεις που κοινοποιούνται από το Fortinet, η μακροεντολή αξιοποιεί το WMI (Windows Management Instrumentation) για να κάνει ping στον διακομιστή εντολών και ελέγχου (C&C) και έχει τη δυνατότητα να δημιουργεί τρία αρχεία: κακόβουλο αρχείο PE, ένα αρχείο διαμόρφωσης και ένα νόμιμο αρχείο DLL .
Γραπτό σε .NET, η κερκόπορτα Saitama χρησιμοποιεί πρωτόκολλο DNS για την επικοινωνία με το C&C και την εξαγωγή δεδομένων, μια μέθοδο πιο μυστική από άλλες τεχνικές επικοινωνίας. Χρησιμοποιούνται επίσης άλλες μέθοδοι απόκρυψης των κακόβουλων πακέτων εντός της νόμιμης κυκλοφορίας.
Το Malwarebytes δημοσίευσε επίσης μια ξεχωριστή αναφορά για την κερκόπορτα, σημειώνοντας ότι ολόκληρη η ροή του προγράμματος ορίζεται ρητά ως μηχανή πεπερασμένης κατάστασης. Εν ολίγοις, το μηχάνημα θα αλλάξει την κατάστασή του ανάλογα με την εντολή που αποστέλλεται σε κάθε κατάσταση.”
Οι προσδιοριζόμενες καταστάσεις περιλαμβάνουν μια αρχική κατάσταση όπου δέχεται μια εντολή έναρξης, μια ζωντανή κατάσταση όπου φέρνει τον διακομιστή C&C, σε αναμονή για εντολές, μια κατάσταση αναστολής λειτουργίας. μια κατάσταση λήψης όπου γίνονται δεκτές εντολές από τους διακομιστές C&C, μια κατάσταση “do” όπου εκτελούνται οι εντολές και μια κατάσταση αποστολής όπου τα αποτελέσματα από την εκτέλεση εντολών αποστέλλονται στους εισβολείς.
Δεδομένου ότι ορισμένες από τις υποστηριζόμενες εντολές περιλαμβάνουν εσωτερικές IP και εσωτερικά ονόματα τομέα, οι ερευνητές του Malwarebytes πιστεύουν ότι η κερκόπορτα είναι εξαιρετικά στοχευμένη και ότι ο παράγοντας απειλής έχει κάποιες προηγούμενες γνώσεις σχετικά με την εσωτερική υποδομή του θύματος.
