outer-space - RunkIntel

# Outer Space ## Descrição Outer Space foi uma campanha conduzida pelo [[g0049-oilrig|OilRig]] (APT34) - grupo de espionagem vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS) - ao longo de 2021, visando organizações israelenses como parte do padrão contínuo de operações cibernéticas iranianas contra o Estado de Israel. A campanha utilizou o downloader [[s1168-samplecheck5000|SampleCheck5000]] como loader inicial para implantar o backdoor [[s1166-solar|Solar]], um implante em VBScript que fornecia acesso remoto persistente aos sistemas comprometidos. A campanha representa uma continuação da série de operações do OilRig contra Israel documentadas pela ESET - precedida pela campanha Lyceum/Shark (2020) e seguida pela campanha Juicy Mix (2022). O padrão operacional manteve o uso de cloud services e web APIs para C2 ([[t1071-001-web-protocols|T1071.001]], [[t1585-003-cloud-accounts|T1585.003]]), ofuscando comúnicações dentro de tráfego aparentemente legítimo para plataformas populares. O OilRig demonstra consistência no targeting de Israel com ferramentas proprietárias desenvolvidas específicamente para cada campanha, combinado com técnicas como arquivos codificados ([[t1027-013-encryptedencoded-file|T1027.013]]) e exploração de servidores cloud para transferência de ferramentas ([[t1105-ingress-tool-transfer|T1105]]). ## Impacto A campanha resultou em comprometimento de organizações israelenses com acesso backdoor persistente via [[s1166-solar|Solar]], permitindo coleta de inteligência, exfiltração de dados e posicionamento para operações futuras. O foco em Israel está alinhado com os objetivos estratégicos do MOIS de monitorar capacidades militares, tecnológicas e governamentais israelenses. ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] tem histórico de operações globais além do Oriente Médio. O Brasil, com relações diplomáticas e comerciais com o Irã e Israel, pode ser um alvo secundário para coleta de inteligência sobre essas relações. A técnica de uso de cloud services para C2 - característica do OilRig - é especialmente relevante para organizações brasileiras que utilizam serviços como OneDrive, Google Drive ou APIs de redes sociais, pois o tráfego malicioso se mistura com tráfego legítimo. ## Atores Envolvidos - [[g0049-oilrig|OilRig]] ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1584-004-server|T1584.004 - Server]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1585-003-cloud-accounts|T1585.003 - Cloud Accounts]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] ## Software Utilizado - [[s1166-solar|Solar]] - [[s1168-samplecheck5000|SampleCheck5000]] --- --- *Fonte: [MITRE ATT&CK - C0042](https://attack.mitre.org/campaigns/C0042)* *Fonte: ESET - "OilRig's Outer Space and Juicy Mix: Same ol' Tricks, Two brand new Backdoors" (Setembro 2023)*