Le groupe de cyberespionnage iranien OilRig exploite une vulnérabilité du noyau Windows pour cibler les gouvernements du Golfe
Selon un récent rapport de la société de cybersécurité Trend Micro, le groupe de cyberespionnage iranien OilRig, également connu sous le nom d'APT34 ou Helix Kitten, multiplie les attaques contre les entités gouvernementales de la région du Golfe. Ce groupe est lié à plusieurs opérations alignées sur les intérêts de l'État iranien, en particulier sur les infrastructures critiques, en particulier dans le secteur de l'énergie.
Table of Contents
Intensification des cyberattaques dans la région du Golfe
Les opérations d'OilRig sont devenues plus agressives ces derniers mois. Parmi leurs cibles figurent les secteurs gouvernementaux des Émirats arabes unis (EAU) et d'autres pays du Golfe. L'une des caractéristiques de ces opérations est le déploiement d'une porte dérobée sophistiquée via des serveurs Microsoft Exchange vulnérables.
Cette porte dérobée permet à OilRig d'exfiltrer les identifiants et de maintenir la persistance au sein des systèmes ciblés. L'une des techniques utilisées consiste à exploiter CVE-2024-30088, une vulnérabilité d'élévation de privilèges du noyau Windows que Microsoft a corrigée en juin 2024.
Nouvelles techniques de cyberespionnage
OilRig a peaufiné son approche en tirant parti des vulnérabilités récemment découvertes et d'outils avancés. Parmi leurs tactiques :
- Politique de filtrage des mots de passe abandonnée : OilRig extrait les mots de passe en texte clair, ce qui facilite le vol d'informations d'identification.
- Ngrok pour le tunneling : Cet outil de surveillance à distance permet au groupe de maintenir un accès persistant aux réseaux compromis.
- Exploitation de CVE-2024-30088 : OilRig utilise cette vulnérabilité pour élever les privilèges au sein du système, augmentant ainsi leur contrôle.
L'un des principaux points d'entrée de ces attaques est un serveur Web vulnérable, que le groupe utilise pour télécharger un shell Web. Cela leur permet d'exécuter des commandes PowerShell, ce qui permet de télécharger et de charger des fichiers vers et depuis le serveur.
Compromettre les systèmes critiques
Une fois à l'intérieur du réseau, OilRig utilise Ngrok pour se déplacer latéralement, compromettant ainsi le contrôleur de domaine. Ce faisant, ils accèdent aux systèmes clés, notamment aux serveurs Microsoft Exchange, où ils récupèrent les informations d'identification. Ces informations d'identification sont ensuite exfiltrées par courrier électronique, les attaquants utilisant des comptes de domaine compromis pour acheminer les données volées via les serveurs gouvernementaux.
Attaques contre la chaîne d'approvisionnement : une menace croissante
Les stratégies d’attaque d’OilRig ne se limitent pas à des organisations isolées. Le groupe est connu pour exploiter des comptes compromis pour lancer des attaques sur la chaîne d’approvisionnement. Cette tactique leur permet d’utiliser des systèmes infectés pour lancer des campagnes de phishing contre d’autres cibles. L’effet d’entraînement potentiel pourrait s’étendre au-delà de la région du Golfe, affectant un plus large éventail de secteurs.
Les tactiques de plus en plus sophistiquées d'OilRig, combinées à leur volonté d'exploiter des vulnérabilités non corrigées comme CVE-2024-30088, représentent une menace importante pour les gouvernements et les infrastructures critiques. À mesure que les cyberattaques deviennent plus avancées, il est essentiel pour les organisations de rester vigilantes, d'appliquer rapidement les correctifs de sécurité et de renforcer les mesures de cybersécurité pour se défendre contre ces menaces en constante évolution.
La capacité du groupe iranien à évoluer et à affiner ses stratégies met en évidence la complexité croissante de la cyberguerre et l’importance de la coopération internationale pour faire face à ces menaces persistantes.
