Grupul de hacking sponsorizat de statul iranian, APT34, cunoscut și sub numele de OilRig, și-a intensificat recent activitățile cu noi campanii care vizează guvernele și entitățile de infrastructură critică din Emiratele Arabe Unite și regiunea Golfului.
În aceste atacuri, observate de cercetătorii Trend Micro, OilRig a implementat un backdoor nou, vizând serverele Microsoft Exchange pentru a fura credențiale, și a exploatat vulnerabilitatea Windows CVE-2024-30088 pentru a-și crește privilegiile pe dispozitivele compromise.
În afară de activitatea menționată, Trend Micro a făcut o legătură între OilRig și FOX Kitten, un alt grup APT din Iran implicat în atacuri ransomware.
Atacurile observate de Trend Micro încep cu exploatarea unui server web vulnerabil pentru a încărca un shell web, oferind atacatorilor capacitatea de a executa coduri la distanță și comenzi PowerShell.
Odată ce shell-ul web este activ, OilRig îl folosește pentru a implementa unelte suplimentare, inclusiv un component proiectat pentru a exploata vulnerabilitatea Windows CVE-2024-30088.
CVE-2024-30088 este o vulnerabilitate de escaladare a privilegiilor cu severitate ridicată pe care Microsoft a remediat-o în iunie 2024, permițând atacatorilor să-și crească privilegiile la nivelul SYSTEM, oferindu-le un control semnificativ asupra dispozitivelor compromise.
Microsoft a recunoscut existența unui exploit de concept pentru CVE-2024-30088, dar nu a marcat încă vulnerabilitatea ca fiind exploatată activ pe portalul său de securitate. CISA de asemenea nu a raportat că a fost exploatată anterior în catalogul său de Vulnerabilități Exploatate Cunoscute.
În continuare, OilRig înregistrează un filtru de parole DLL pentru a intercepta credențialele în text simplu în timpul evenimentelor de schimbare a parolelor, apoi descarcă și instalează unelte de monitorizare și management la distanță „ngrok”, folosite pentru comunicări discrete prin tuneluri securizate.
O altă tactică nouă folosită de actorii de amenințare este exploatarea serverelor Microsoft Exchange locale pentru a fura credențiale și a exfiltra date sensibile prin traficul de emailuri legitime, greu de detectat.
Exfiltrarea este facilitată de un nou backdoor numit ‘StealHook’, în timp ce Trend Micro afirmă că infrastructura guvernamentală este adesea folosită ca punct de pivot pentru a face procesul să pară legitim.
„Obiectivul principal al acestei etape este de a captura parolele furate și de a le transmite atacatorilor ca atașamente de email”, explică Trend Micro în raport.
„În plus, am observat că actorii de amenințare folosesc conturi legitime cu parole furate pentru a redirecționa aceste emailuri prin serverele guvernamentale de Exchange.”
TrendMicro spune că există similitudini de cod între StealHook și backdoor-urile folosite de OilRig în campaniile anterioare, cum ar fi Karkoff, așadar ultimul malware pare să fie un pas evolutiv în loc să fie o creație nouă de la zero.
De asemenea, nu este prima dată când OilRig a folosit serverele Microsoft Exchange ca un component activ al atacurilor lor. Aproape acum un an, Symantec a raportat că APT34 a instalat un backdoor PowerShell denumit „PowerExchange” pe serverele Exchange locale capabile să primească și să execute comenzi prin email.
Actorul de amenințare rămâne extrem de activ în regiunea Orientului Mijlociu, iar afilierea sa cu FOX Kitten, deși neclară în acest moment, este îngrijorătoare pentru potențialul de a adăuga ransomware la arsenalul său de atacuri.
Deoarece majoritatea entităților vizate sunt în sectorul energetic, conform Trend Micro, perturbările operaționale în aceste organizații ar putea afecta grav mulți oameni.
CISA spune că vulnerabilitatea critică Fortinet RCE este acum exploatată în atacuri
Mozilla rezolvă zero-day-ul Firefox exploatat activ în atacuri
Ivanti avertizează despre încă trei zero-day-uri CSA exploatate în atacuri
Qualcomm remediază zero-day-ul cu severitate ridicată exploatat în atacuri
Peste 4.000 de magazine Adobe Commerce, Magento au fost hackerite în atacurile CosmicSting
Leave a Reply