Η ιρανική ομάδα κυβερνοκατασκοπείας OilRig εκμεταλλεύεται την ευπάθεια του πυρήνα των Windows για να στοχεύσει κυβερνήσεις του Κόλπου

Η ιρανική ομάδα κυβερνοκατασκοπείας OilRig, γνωστή και ως APT34 ή Helix Kitten, εντείνει τις επιθέσεις της σε κυβερνητικές οντότητες στην περιοχή του Κόλπου, σύμφωνα με πρόσφατη έκθεση της εταιρείας κυβερνοασφάλειας Trend Micro. Αυτή η ομάδα έχει συνδεθεί με πολλές επιχειρήσεις ευθυγραμμισμένες με τα κρατικά συμφέροντα του Ιράν, με έμφαση στις υποδομές ζωτικής σημασίας, ιδίως στους ενεργειακούς τομείς.

Κλιμακούμενες κυβερνοεπιθέσεις στην περιοχή του Κόλπου

Οι δραστηριότητες της OilRig έχουν γίνει πιο επιθετικές τους τελευταίους μήνες. Οι πρόσφατοι στόχοι τους περιλαμβάνουν κυβερνητικούς τομείς στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ) και σε άλλα κράτη του Κόλπου. Ένα χαρακτηριστικό αυτών των λειτουργιών είναι η ανάπτυξη μιας εξελιγμένης κερκόπορτας μέσω ευάλωτων διακομιστών του Microsoft Exchange.

Αυτή η κερκόπορτα επιτρέπει στην OilRig να εκμεταλλεύεται τα διαπιστευτήρια και να διατηρεί την επιμονή εντός των στοχευμένων συστημάτων. Μία από τις τεχνικές που χρησιμοποιούν περιλαμβάνει την εκμετάλλευση του CVE-2024-30088, μιας ευπάθειας προνομίου για την ανύψωση του πυρήνα των Windows που η Microsoft διορθώθηκε τον Ιούνιο του 2024.

Νέες Τεχνικές στην Κυβερνοκατασκοπεία

Η OilRig έχει τελειοποιήσει την προσέγγισή της εκμεταλλευόμενη τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα και τα προηγμένα εργαλεία. Ανάμεσα στις τακτικές τους:

• Πολιτική φίλτρου αποκλεισμένου κωδικού πρόσβασης : Η OilRig εξάγει κωδικούς πρόσβασης καθαρού κειμένου, διευκολύνοντας την κλοπή διαπιστευτηρίων.
• Ngrok for tunneling : Αυτό το εργαλείο απομακρυσμένης παρακολούθησης επιτρέπει στην ομάδα να διατηρεί σταθερή πρόσβαση σε παραβιασμένα δίκτυα.
• Εκμετάλλευση του CVE-2024-30088 : Η OilRig χρησιμοποιεί αυτήν την ευπάθεια για να αυξήσει τα προνόμια εντός του συστήματος, αυξάνοντας τον έλεγχό τους.

Ένα από τα κύρια σημεία εισόδου για αυτές τις επιθέσεις είναι ένας ευάλωτος διακομιστής ιστού, τον οποίο η ομάδα χρησιμοποιεί για να ανεβάσει ένα κέλυφος ιστού. Αυτό τους επιτρέπει να εκτελούν εντολές PowerShell, επιτρέποντας τη λήψη και τη μεταφόρτωση αρχείων από και προς τον διακομιστή.

Συμβιβαστικά Κρίσιμα Συστήματα

Μόλις εισέλθει στο δίκτυο, η OilRig χρησιμοποιεί το Ngrok για πλευρική κίνηση, θέτοντας τελικά σε κίνδυνο τον ελεγκτή τομέα. Με αυτόν τον τρόπο, αποκτούν πρόσβαση σε βασικά συστήματα, συμπεριλαμβανομένων των Microsoft Exchange Servers, όπου συγκεντρώνουν τα διαπιστευτήρια. Στη συνέχεια, αυτά τα διαπιστευτήρια διεκπεραιώνονται μέσω email, με τους εισβολείς να χρησιμοποιούν λογαριασμούς τομέα σε κίνδυνο για να δρομολογούν τα κλεμμένα δεδομένα μέσω κυβερνητικών διακομιστών.

Επιθέσεις εφοδιαστικής αλυσίδας: μια αυξανόμενη απειλή

Οι στρατηγικές επίθεσης της OilRig δεν σταματούν σε μεμονωμένους οργανισμούς. Η ομάδα είναι γνωστό ότι αξιοποιεί παραβιασμένους λογαριασμούς για να εξαπολύσει επιθέσεις στην αλυσίδα εφοδιασμού. Αυτή η τακτική τους επιτρέπει να χρησιμοποιούν μολυσμένα συστήματα για να ξεκινήσουν εκστρατείες phishing εναντίον άλλων στόχων. Το πιθανό φαινόμενο κυματισμού θα μπορούσε να επεκταθεί πέρα από την περιοχή του Κόλπου, επηρεάζοντας ένα ευρύτερο φάσμα τομέων.

Οι ολοένα και πιο εξελιγμένες τακτικές της OilRig, σε συνδυασμό με την εστίασή τους στην εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων όπως το CVE-2024-30088, αποτελούν σημαντική απειλή για τις κυβερνήσεις και τις υποδομές ζωτικής σημασίας. Καθώς οι επιθέσεις στον κυβερνοχώρο γίνονται πιο προχωρημένοι, είναι ζωτικής σημασίας για τους οργανισμούς να παραμείνουν σε επαγρύπνηση, εφαρμόζοντας εγκαίρως ενημερώσεις κώδικα ασφαλείας και ενισχύοντας μέτρα κυβερνοασφάλειας για την άμυνα έναντι αυτών των εξελισσόμενων απειλών.

Η ικανότητα της ιρανικής ομάδας να εξελίσσεται και να τελειοποιεί τις στρατηγικές της υπογραμμίζει την αυξανόμενη πολυπλοκότητα του κυβερνοπολέμου και τη σημασία της διεθνούς συνεργασίας για την αντιμετώπιση αυτών των επίμονων απειλών.