g0049-oilrig - RunkIntel

# OilRig ## Visão Geral O **OilRig** (também rastreado como **APT34** e **Earth Simnavaz**) e um grupo de espionagem cibernética patrocinado pelo **Iran**, atribuido ao **Ministerio de Inteligência e Segurança (MOIS)** - o lado civil da inteligência iraniana, diferente dos grupos IRGC como APT33 e APT42. Ativo desde pelo menos **2014**, o grupo e um dos mais persistentes e metodicos do ecossistema APT iraniano: operações de longa duracao contra os mesmos alvos, paciencia para aguardar o momento certo e investimento continuo em toolset customizado. O OilRig concentra operações no **Oriente Medio** - especialmente Arabia Saudita, Israel, Emirados Arabes e Iraque - com foco em **energia, governo e defesa**. A campanha mais destacada recente foi **Earth Simnavaz** (2024): exploração do **CVE-2024-30088** (elevação de privilegio no kernel Windows) para obter acesso SYSTEM, combinado com **backdoor IIS** em servidores Exchange e **filtro de senha DLL** para capturar credenciais em texto plano durante eventos de troca de senha. A campanha **Outer Space** (2021) e a **Juicy Mix** (2023), documentadas pela ESET, mostraram o grupo comprometendo portais israelenses para usar como servidores C2. ```mermaid graph TB A["Webshell em servidor vulnerável via HTTP Acesso inicial"] --> B["ngrok RMM tool Tunel persistente Movimento lateral para DC"] B --> C["CVE-2024-30088 Escalonamento de privilegio SYSTEM via kernel Windows"] C --> D["STEALHOOK backdoor Backdoor IIS + DLL filtro Captura senhas em plaintext"] D --> E["Exchange C2 Emails via contas legítimas Veaty/Spearal DNS C2"] E --> F["Exfiltração Credenciais M365 + docs Supply chain para novos alvos"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e74c3c,color:#fff style D fill:#c0392b,color:#fff style E fill:#e67e22,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao OilRig e atribuido ao MOIS iraniano com **alta confiança** com base em: - Infraestrutura contendo referências ao Iran (nomes de dominio, strings internas) - Alinhamento de alvejamento com interesses de Estado iraniano (adversarios regionais, energetica) - Funcionarios iraniano identificados em indiciamento do DOJ dos EUA (2019) - Sobreposicao documentada com FOX Kitten (grupo MOIS que facilita ransomware para operações de cobertura) - Campanha Juicy Mix usa portal israelense comprometido como C2 - padrao exclusivo deste grupo ## Arsenal - Evolução 2014-2025 | Período | Ferramenta | Novidade | |---------|-----------|----------| | 2014-2016 | Helminth, ISMInjector | RATs iniciais, campanhas Saudi Arabia | | 2017-2019 | QUADAGENT, OopsIE, BONDUPDATER | Downloaders PowerShell, DNS tunneling | | 2020-2021 | ODAgent, RDAT | Backdoors via Exchange EWS API (Outer Space) | | 2023 | Mango backdoor | Evolução do Solar (Juicy Mix campaign) | | 2024 | STEALHOOK, CVE-2024-30088 | Backdoor IIS + escalonamento kernel Windows | | 2024 | Veaty + Spearal | C2 via DNS queries e contas email comprometidas | ### [[cve-2024-30088|CVE-2024-30088]] - Destaque 2024 **CVSS: Alto | Windows Kernel Elevation of Privilege** Patched pela Microsoft em junho de 2024, o OilRig foi o primeiro grupo documentado a explorar esta vulnerabilidade em producao. A exploração e carregada em memoria via **RunPE-In-Memory** para evitar artefatos em disco, e concede acesso SYSTEM ao atacante. ### [[stealhook|STEALHOOK]] e filtro de senha DLL Técnica exclusiva documentada em 2024 (Trend Micro/Check Point): - Backdoor baseado em **IIS** - mistura trafico malicioso ao trafego HTTP legitimo do servidor - Registra uma **DLL de filtro de senha** no Domain Controller: o filtro intercepta senhas em texto claro durante eventos de reset/troca de senha - Exfiltra credenciais coletadas via **servidor Exchange** como anexos de email para endereco controlado pelo atacante - Esta técnica persiste **mesmo após reset de senhas e remoção do malware visivel** - requer investigação forensica profunda ### [[veaty|Veaty]] e [[spearal|Spearal]] - Campanha Iraque 2024 Documentado por pesquisadores em 2024 contra entidades governamentais iraquianas: - **Veaty**: comúnica via **contas email comprometidas** dentro do dominio gov-iq.net - **Spearal**: comúnica via **queries DNS** (DNS tunneling para C2) - Ambos distribuidos via spearphishing com malware disfarado de arquivos PDF ## Campanhas Notaveis ```mermaid graph TB K1["2021 Outer Space Campaign Israel - Exchange EWS C2"] --> K2["2023 Juicy Mix Campaign Israel - Mango backdoor"] K2 --> K3["2024 Earth Simnavaz UAE/Golfo - CVE-2024-30088"] --> K4["2024 Veaty + Spearal Governo Iraque"] K4 --> K5["2024 STEALHOOK Israel Cloud M365 credential harvest"] --> K6["2025 Persistência cloud Azure/M365 enterprise"] style K1 fill:#7f8c8d,color:#fff style K2 fill:#2980b9,color:#fff style K3 fill:#e74c3c,color:#fff style K4 fill:#e67e22,color:#fff style K5 fill:#8e44ad,color:#fff style K6 fill:#c0392b,color:#fff ``` | Campanha | Período | Alvos | Técnica | Malware | |----------|---------|-------|---------|---------| | Outer Space | 2021 | Organizacoes israelenses | Exchange EWS como C2 | Solar backdoor | | Juicy Mix | 2023 | Israel (saúde, manufatura, governo) | Portal emprego comprometido C2 | Mango backdoor + browser stealer | | Earth Simnavaz | 2024 | UAE, Golfo (energia, governo) | CVE-2024-30088 + ngrok | STEALHOOK + DLL filtro senha | | Veaty/Spearal | 2024 | Governo Iraque | DNS tunneling + email accounts | Veaty + Spearal | | STEALHOOK Israel | 2024 | Defesa + governo Israel | PowerShell loader + M365 harvest | STEALHOOK | ## Técnicas de Ataque - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - webshell em servidores vulneraveis - [[t1068-exploitation-for-privilege-escalation|T1068 - Privilege Escalation]] - CVE-2024-30088 via RunPE-In-Memory - [[t1505-003-web-shell|T1505.003 - Web Shell]] - acesso persistente via IIS - [[t1137-004-outlook-home-page|T1137.004 - Outlook Home Page]] - persistência via Outlook home page maliciosa - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - dump de credenciais - [[t1008-fallback-channels|T1008 - Fallback Channels]] - C2 redundante (HTTP + DNS + Exchange) - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - movimento lateral pos-comprometimento ## Relevância para o Brasil e LATAM **Risco moderado direto:** O OilRig historicamente foca no Oriente Medio, mas tres fatores tornam o grupo relevante para o Brasil: - **Energia e petroleo**: A [[energy|Petrobras]] e empresas do setor de energia brasileiro operam em joint ventures e contratos com parceiros do Oriente Medio - alvo historico do OilRig. Comprometimento de um parceiro pode ser usado como stepping stone via supply chain - **Relacoes diplomaticas**: O Brasil mantem relacoes diplomaticas com Iran, Arabia Saudita, Israel e EUA - todos alvos/atores no ecossistema de espionagem iraniano. Entidades diplomaticas brasileiras na regiao podem ser alvejadas - **Setor financeiro**: O grupo tem historico de comprometer instituicoes financeiras em toda a regiao - o [[financial|sistema bancario brasileiro]] com operações internacionais pode ser atingido via parceiros regionais comprometidos **Técnicas criticas para defenders LATAM:** - A combinacao **ngrok + webshell + CVE-2024-30088** e uma cadeia de ataque documenada que deve constar em playbooks de IR de qualquer SOC que administre Windows Servers expostos - O modelo de **filtro de senha DLL no Domain Controller** e especialmente insidioso: resiste a resets de senha e e invisivel para AV convencional - requer monitoramento de integridade de DLLs no DC - O uso de **Exchange EWS API como canal C2** e uma técnica cada vez mais comum que SOCs brasileiros devem incluir em regras de detecção (requests anomalos ao endpoint `/EWS/Exchange.asmx`) ## Referências - [Trend Micro - Earth Simnavaz APT34 (Out 2024)](https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks.html) - [SecurityWeek - OilRig CVE-2024-30088 (Out 2024)](https://www.securityweek.com/iranian-cyberspies-exploiting-recent-windows-kernel-vulnerability/) - [CERTFA Radar - Veaty Spearal Iraq 2024](https://radar.certfa.com/en/threats/cluster/0fda2ba1/) - [Security Scientist - 12 Questions About OilRig (2026)](https://www.securityscientist.net/blog/12-questions-and-answers-about-oilrig-apt34/) - [MITRE ATT&CK - G0049](https://attack.mitre.org/groups/G0049/)