Den iranske cyberspionagegruppe OilRig udnytter Windows-kernens sårbarhed til at målrette Golfens regeringer

Den iranske cyberspionagegruppe OilRig, også kendt som APT34 eller Helix Kitten, optrapper sine angreb på regeringsenheder i Golfregionen, ifølge en nylig rapport fra cybersikkerhedsfirmaet Trend Micro. Denne gruppe har været knyttet til flere operationer, der er tilpasset iranske statsinteresser, med fokus på kritisk infrastruktur, især i energisektorer.

Eskalerende cyberangreb i Golfregionen

OilRigs aktiviteter er blevet mere aggressive i de seneste måneder. Deres seneste mål omfatter regeringssektorer i De Forenede Arabiske Emirater (UAE) og andre Golfnationer. Et kendetegn ved disse operationer er implementeringen af en sofistikeret bagdør gennem sårbare Microsoft Exchange-servere.

Denne bagdør gør det muligt for OilRig at eksfiltrere legitimationsoplysninger og opretholde vedholdenhed inden for de målrettede systemer. En af de teknikker, de bruger, omfatter udnyttelse af CVE-2024-30088, en Windows-kerneudvidelse af privilegie-sårbarhed, som Microsoft fiksede i juni 2024.

Nye teknikker inden for cyberspionage

OilRig har forfinet sin tilgang ved at drage fordel af nyopdagede sårbarheder og avancerede værktøjer. Blandt deres taktikker:

• Droppet adgangskodefilterpolitik : OilRig udtrækker adgangskoder med ren tekst, hvilket gør det nemmere at stjæle legitimationsoplysninger.
• Ngrok for tunneling : Dette fjernovervågningsværktøj gør det muligt for gruppen at opretholde vedvarende adgang til kompromitterede netværk.
• Udnytter CVE-2024-30088 : OilRig bruger denne sårbarhed til at øge privilegier i systemet, hvilket øger deres kontrol.

Et af de primære indgangspunkter for disse angreb er en sårbar webserver, som gruppen bruger til at uploade en web-shell. Dette giver dem mulighed for at udføre PowerShell-kommandoer, hvilket muliggør fildownloads og uploads til og fra serveren.

Gå på kompromis med kritiske systemer

Når OilRig først er inde i netværket, bruger OilRig Ngrok til lateral bevægelse, hvilket i sidste ende kompromitterer domænecontrolleren. Ved at gøre det får de adgang til nøglesystemer, herunder Microsoft Exchange-servere, hvor de høster legitimationsoplysninger. Disse legitimationsoplysninger eksfiltreres derefter via e-mail, hvor angribere bruger kompromitterede domænekonti til at dirigere de stjålne data gennem offentlige servere.

Supply Chain-angreb: En voksende trussel

OilRigs angrebsstrategier stopper ikke ved enkelte organisationer. Gruppen har været kendt for at udnytte kompromitterede konti til at iværksætte forsyningskædeangreb. Denne taktik giver dem mulighed for at bruge inficerede systemer til at starte phishing-kampagner mod andre mål. Den potentielle ringvirkning kan strække sig ud over Golfregionen og påvirke en bredere vifte af sektorer.

OilRigs stadig mere sofistikerede taktik, kombineret med deres fokus på at udnytte uoprettede sårbarheder som CVE-2024-30088, udgør en væsentlig trussel mod regeringer og kritisk infrastruktur. Efterhånden som cyberangreb bliver mere avancerede, er det afgørende for organisationer at være på vagt, anvende sikkerhedsrettelser omgående og forstærke cybersikkerhedsforanstaltninger for at forsvare sig mod disse udviklende trusler.

Den iranske gruppes evne til at udvikle og forfine deres strategier fremhæver den voksende kompleksitet af cyberkrigsførelse og vigtigheden af internationalt samarbejde for at imødegå disse vedvarende trusler.