رصدت شركة "بالو ألتو نتوركس" المختصة في تطوير الجيل التالي من الحلول الأمنية، هجمات مستمرّة لمجموعة "أويلريغ OilRig" ضد المؤسسات الحكومية في منطقة ​الشرق الأوسط​ متّبعة تكتيكات مراوغة وأدوات مختلفة عن تلك التي استخدمتها في الهجمات السابقة.

وفي أحدث هجماتها، قامت مجموعة "أويلريغ" بإرسال بريد إلكتروني احتيالي يحتوي على طُعم تم تصميمه بعناية لاستدراج متلقّي الرسالة لفتح الملف المرفق المتمثل في برمجية خبيثة. وقد تم التعرف على الملف المرفق على أنه نسخة من ​فيروس​ ​تروجان​ "OopsIE" والذي تم اكتشافه أول مرّة في شباط 2018. وتضم هذه النسخة من "OopsIE" الخصائص ذاتها، إلّا أن الجديد هو إضافة إمكانيات مراوغة ضد وسائل التحليل والأجهزة الافتراضية بهدف تجاوز أنظمة الدفاع الآلية ضد الهجمات الإلكترونية. 

ووفقاً لمجموعة "بالو ألتو نتوركس" فقد سبق لمجموعة "أويلريغ" في شهر 2018 أن أطلقت موجة من الهجمات اعتمدت فيها على برمجية خبيثة تسمى "QUADAGENT"، واستهدفت إحدى المؤسسات الحكومية في الشرق الأوسط، ولاحظت بالو ألتو نتوركس خلال تلك الموجة من الهجمات أن المجموعة اعتمدت على حسابات بريد إلكتروني مسروقة من المؤسسة ذاتها لإرسال ​البريد الإلكتروني​ الاحتيالي مزوداً بفيروس تروجان OopsIE كحمولة خبيثة عوضاً عن برمجية QUADAGENT.

كما أن الهجمة التي اعتمدت على "OopsIE" استهدفت مؤسسة حكومية أخرى في نفس البلد تختلف عن تلك التي تم استهدافها بالاستعانة ببرمجية QUADAGENT. وقد حمل البريد الإلكتروني المرسل العنوان التالي باللغة العربية "البرنامج التدريبي لاستمرارية الأعمال". وقد تم إرسال البريد الإلكتروني إلى مجموعة من المستخدمين وليس إلى عنوان شخص معيّن. واعتماداً على المعلومات المتاحة يبدو أن هذه المجموعة التي تم استهدافها سبق وأصدرت منشورات عدة تتعلق باستمرارية الأعمال على ​شبكة الإنترنت​، مما يعني أن الطُعم المستخدم في البريد الإلكتروني تم تصميمه بعناية لهذه الهجمة.

وأكدت "بالو ألتو نتوركس" أن مجموعة "أويلريغ" تمثل تهديداً حقيقياً للمؤسسات في منطقة الشرق الأوسط. وتعمل المجموعة باستمرار على تكرار هجماتها ورفع سوية إمكانيات أدواتها، بينما تحافظ على تكتيكات الهجوم ذاتها تباعاً في كل هجمة. بينما نتابع عن كثب نشاطات مجموعة "أويلريغ"، نلاحظ أنهم على استعداد دائم لإضافة إمكانيات غير شائعة لأدواتهم. من الأمثلة على ذلك استخدامهم لتكتيك تزويد ​برمجيات​ التسلل الخلفي بميزة تحميل البرمجيات الخبيثة ضمن حُزم الاستجابة لخادم DNS، أو تزويد برمجيات webshell الخبيثة بمزايا التوثيق. وهذه الهجمة التي نتحدث عنها هنا لا تختلف من حيث المبدأ، إذ عملت المجموعة على تزويد أدواتها بإمكانيات المراوغة ضد وسائل التحليل. وما من شك أن هذه المجموعة تزخر بإمكانيات عالية وقدرات على التكيّف مع مرور الوقت. ومع ذلك لا بد من القول أيضاً أن التكتيكات التي تعتمدها المجموعة تعتبر بدائية نوعاً ما ويمكن للمؤسسات التحصّن ضدها من خلال اعتماد وسائل حماية بسيطة.