El grupo iraní de ciberespionaje OilRig explota una vulnerabilidad del kernel de Windows para atacar a los gobiernos del Golfo
El grupo iraní de ciberespionaje OilRig, también conocido como APT34 o Helix Kitten, está intensificando sus ataques contra entidades gubernamentales en la región del Golfo, según un informe reciente de la firma de ciberseguridad Trend Micro. Este grupo ha sido vinculado a varias operaciones alineadas con los intereses del Estado iraní, con un enfoque en infraestructura crítica, especialmente en los sectores energéticos.
Table of Contents
Aumentan los ciberataques en la región del Golfo
Las operaciones de OilRig se han vuelto más agresivas en los últimos meses. Entre sus objetivos más recientes se encuentran sectores gubernamentales de los Emiratos Árabes Unidos (EAU) y otras naciones del Golfo. Un rasgo distintivo de estas operaciones es el despliegue de una sofisticada puerta trasera a través de servidores vulnerables de Microsoft Exchange.
Esta puerta trasera permite a OilRig extraer credenciales y mantener la persistencia dentro de los sistemas atacados. Una de las técnicas que utilizan incluye la explotación de CVE-2024-30088, una vulnerabilidad de elevación de privilegios del kernel de Windows que Microsoft parcheó en junio de 2024.
Nuevas técnicas de ciberespionaje
OilRig ha perfeccionado su estrategia aprovechando vulnerabilidades recién descubiertas y herramientas avanzadas. Entre sus tácticas:
- Política de filtro de contraseñas abandonada : OilRig extrae contraseñas de texto limpio, lo que hace que sea más fácil robar credenciales.
- Ngrok para tunelización : esta herramienta de monitoreo remoto permite al grupo mantener acceso persistente a redes comprometidas.
- Explotación de CVE-2024-30088 : OilRig utiliza esta vulnerabilidad para elevar privilegios dentro del sistema, aumentando su control.
Uno de los principales puntos de entrada de estos ataques es un servidor web vulnerable, que el grupo utiliza para cargar un shell web. Esto les permite ejecutar comandos de PowerShell, lo que permite descargar y cargar archivos hacia y desde el servidor.
Compromiso de sistemas críticos
Una vez dentro de la red, OilRig utiliza Ngrok para realizar movimientos laterales, lo que en última instancia compromete el controlador de dominio. Al hacerlo, obtienen acceso a sistemas clave, incluidos los servidores Microsoft Exchange, donde recopilan credenciales. Estas credenciales luego se filtran por correo electrónico y los atacantes utilizan cuentas de dominio comprometidas para enviar los datos robados a través de servidores gubernamentales.
Ataques a la cadena de suministro: una amenaza creciente
Las estrategias de ataque de OilRig no se limitan a organizaciones individuales. Se sabe que el grupo aprovecha cuentas comprometidas para lanzar ataques a la cadena de suministro. Esta táctica les permite utilizar sistemas infectados para lanzar campañas de phishing contra otros objetivos. El posible efecto dominó podría extenderse más allá de la región del Golfo y afectar a una gama más amplia de sectores.
Las tácticas cada vez más sofisticadas de OilRig, combinadas con su enfoque en explotar vulnerabilidades sin parches como CVE-2024-30088, representan una amenaza significativa para los gobiernos y la infraestructura crítica. A medida que los ciberataques se vuelven más avanzados, es fundamental que las organizaciones se mantengan alerta, apliquen parches de seguridad con prontitud y refuercen las medidas de ciberseguridad para defenderse de estas amenazas en constante evolución.
La capacidad del grupo iraní para evolucionar y perfeccionar sus estrategias pone de relieve la creciente complejidad de la guerra cibernética y la importancia de la cooperación internacional para abordar estas amenazas persistentes.
