Die iranische Cyber-Spionagegruppe OilRig nutzt eine Sicherheitslücke im Windows-Kernel, um die Golfregierungen anzugreifen
Die iranische Cyberspionagegruppe OilRig, auch bekannt als APT34 oder Helix Kitten, verstärkt laut einem aktuellen Bericht des Cybersicherheitsunternehmens Trend Micro ihre Angriffe auf Regierungsstellen in der Golfregion. Diese Gruppe wird mit mehreren Operationen in Verbindung gebracht, die den iranischen Staatsinteressen dienen und sich auf kritische Infrastrukturen, insbesondere im Energiesektor, konzentrieren.
Table of Contents
Eskalierende Cyberangriffe in der Golfregion
Die Operationen von OilRig sind in den letzten Monaten aggressiver geworden. Zu ihren jüngsten Zielen zählen Regierungssektoren in den Vereinigten Arabischen Emiraten (VAE) und anderen Golfstaaten. Ein Markenzeichen dieser Operationen ist die Bereitstellung einer ausgeklügelten Hintertür über anfällige Microsoft Exchange-Server.
Diese Hintertür ermöglicht es OilRig, Anmeldeinformationen zu exfiltrieren und ihre Persistenz innerhalb der Zielsysteme aufrechtzuerhalten. Zu den von ihnen verwendeten Techniken gehört die Ausnutzung von CVE-2024-30088, einer Sicherheitslücke im Windows-Kernel zur Erhöhung von Berechtigungen, die Microsoft im Juni 2024 gepatcht hat.
Neue Techniken der Cyber-Spionage
OilRig hat seinen Ansatz verfeinert, indem es neu entdeckte Schwachstellen und fortschrittliche Tools ausnutzt. Zu ihren Taktiken gehören:
- Richtlinie für gelöschte Passwörter : OilRig extrahiert Passwörter im Klartext und erleichtert so den Diebstahl von Anmeldeinformationen.
- Ngrok für Tunneling : Dieses Remote-Überwachungstool ermöglicht der Gruppe, dauerhaften Zugriff auf gefährdete Netzwerke aufrechtzuerhalten.
- Ausnutzung von CVE-2024-30088 : OilRig nutzt diese Sicherheitslücke, um die Berechtigungen innerhalb des Systems zu erhöhen und so seine Kontrolle zu steigern.
Einer der wichtigsten Einstiegspunkte für diese Angriffe ist ein anfälliger Webserver, den die Gruppe zum Hochladen einer Webshell nutzt. Dadurch können sie PowerShell-Befehle ausführen und so Dateidownloads und -uploads zum und vom Server durchführen.
Gefährdung kritischer Systeme
Sobald OilRig im Netzwerk ist, nutzt es Ngrok zur lateralen Bewegung und kompromittiert schließlich den Domänencontroller. Auf diese Weise erhalten sie Zugriff auf wichtige Systeme, einschließlich Microsoft Exchange Server, wo sie Anmeldeinformationen sammeln. Diese Anmeldeinformationen werden dann per E-Mail exfiltriert, wobei Angreifer kompromittierte Domänenkonten verwenden, um die gestohlenen Daten über Regierungsserver zu leiten.
Angriffe auf die Lieferkette: Eine wachsende Bedrohung
Die Angriffsstrategien von OilRig beschränken sich nicht auf einzelne Organisationen. Die Gruppe ist dafür bekannt, kompromittierte Konten zu nutzen, um Angriffe auf die Lieferkette zu starten. Mit dieser Taktik können sie infizierte Systeme nutzen, um Phishing-Kampagnen gegen andere Ziele zu starten. Der potenzielle Welleneffekt könnte über die Golfregion hinausgehen und ein breiteres Spektrum von Sektoren betreffen.
Die immer ausgefeilteren Taktiken von OilRig und ihr Fokus auf die Ausnutzung ungepatchter Schwachstellen wie CVE-2024-30088 stellen eine erhebliche Bedrohung für Regierungen und kritische Infrastrukturen dar. Da Cyberangriffe immer ausgefeilter werden, ist es für Unternehmen von entscheidender Bedeutung, wachsam zu bleiben, Sicherheitspatches umgehend anzuwenden und die Cybersicherheitsmaßnahmen zu verstärken, um sich gegen diese sich entwickelnden Bedrohungen zu verteidigen.
Die Fähigkeit der iranischen Gruppe, ihre Strategien weiterzuentwickeln und zu verfeinern, unterstreicht die wachsende Komplexität der Cyberkriegsführung und die Bedeutung internationaler Zusammenarbeit bei der Bewältigung dieser anhaltenden Bedrohungen.
