Иранска група кибершпиони атакува посредством Windows Kernel уязвимост

OilRig: Иранска APT група атакува държавни организации в Залива с нови техники

В последните месеци кибершпионската група OilRig, свързана с Иран, засилва операциите си срещу правителствени организации в региона на Персийския залив. Според доклад на Trend Micro, групата е насочена основно към държавни агенции в Обединените арабски емирства (ОАЕ) и по-широкия регион, като използва напреднали тактики и нови инструменти за кибератаки.

OilRig, известна още като APT34, Cobalt Gypsy, Earth Simnavaz и Helix Kitten, е активна от поне 2014 г., фокусирайки се върху сектори като енергетика и критична инфраструктура. Основната им цел е източване на информация, която е в съответствие с интересите на иранското правителство.

Нови тактики и експлоатиране на уязвимости

През последните атаки, наблюдавани от Trend Micro, OilRig е използвала нов заден вход (backdoor), насочен към кражба на пароли през локални Microsoft Exchange сървъри. Те също така са открили начин да използват уязвимостта CVE-2024-30088 в Windows ядрото за ескалация на привилегии, която Microsoft патчна през юни 2024 г. Важно е да се отбележи, че това е първият доклад за експлоатация на тази уязвимост.

Първоначалният вектор на проникване в системите започва чрез уеб шел, инсталиран на уязвим уеб сървър. Този уеб шел позволява изпълнението на PowerShell команди и трансфер на файлове от и към сървъра. След като са влезли в системата, атакуващите използват инструмента Ngrok за тунелиране на трафик и придобиване на постоянен достъп, след което компрометират Domain Controller-а чрез ескалация на привилегиите с помощта на уязвимостта CVE-2024-30088.

Извличане на данни и събиране на пароли

След като постигнат достъп до мрежата, OilRig разгръща зловреден софтуер, който извлича чисти текстови пароли чрез манипулиране на политиките за филтриране на пароли на целевите системи. Също така атакуващите са наблюдавани да използват компрометирани домейн акаунти, за да получат достъп до Microsoft Exchange сървъри и да извлекат данни. Крайната им цел е да изпращат откраднатите пароли като прикачени файлове в имейли през правителствени Exchange сървъри.

Този заден вход показва сходства с друг зловреден софтуер, използван от APT групата, като извлича потребителски имена и пароли от специфичен файл и изпраща тази информация до предварително зададен адрес. Очаква се, че тези компрометирани акаунти ще бъдат използвани за допълнителни фишинг атаки срещу нови цели.