Az iráni kiberkémcsoport, az OilRig a Windows kernel sebezhetőségét kihasználva megcélozza az Öböl-menti kormányokat
A Trend Micro kiberbiztonsági cég friss jelentése szerint az iráni kiberkémkedési csoport, az OilRig, más néven APT34 vagy Helix Kitten, fokozza támadásait az Öböl-térségben a kormányzati szervek ellen . Ez a csoport több, az iráni állami érdekekhez igazodó művelethez kapcsolódott, különös tekintettel a kritikus infrastruktúrákra, különösen az energiaágazatokra.
Table of Contents
Eszkalálódó kibertámadások az Öböl-térségben
Az OilRig tevékenysége az elmúlt hónapokban agresszívebbé vált. Legutóbbi célpontjaik közé tartoznak az Egyesült Arab Emírségek (EAE) és más Öböl-országok kormányzati szektorai. E műveletek jellemzője a kifinomult hátsó ajtó telepítése a sebezhető Microsoft Exchange szervereken keresztül.
Ez a hátsó ajtó lehetővé teszi az OilRig számára, hogy kiszűrje a hitelesítő adatokat és fenntartsa a kitartást a megcélzott rendszereken belül. Az általuk használt technikák egyike a CVE-2024-30088, a Windows rendszermag jogosultság-növelési biztonsági résének kihasználása, amelyet a Microsoft 2024 júniusában javított ki.
Új technikák a kiberkémkedésben
Az OilRig az újonnan felfedezett sebezhetőségek és fejlett eszközök kihasználásával finomította megközelítését. A taktikáik közül:
- Elvetett jelszószűrő házirend : Az OilRig kivonja a tiszta szövegű jelszavakat, megkönnyítve a hitelesítő adatok ellopását.
- Ngrok alagúthoz : Ez a távoli megfigyelő eszköz lehetővé teszi a csoport számára, hogy állandó hozzáférést tartson fenn a veszélyeztetett hálózatokhoz.
- A CVE-2024-30088 kiaknázása : Az OilRig ezt a biztonsági rést a rendszeren belüli jogosultságok növelésére használja fel, és így növeli az ellenőrzést.
E támadások egyik elsődleges belépési pontja egy sebezhető webszerver, amelyet a csoport webhéj feltöltésére használ. Ez lehetővé teszi számukra a PowerShell-parancsok végrehajtását, lehetővé téve a fájlok letöltését és feltöltését a kiszolgálóra és onnan.
Kompromittáló kritikus rendszerek
Miután bekerült a hálózatba, az OilRig az Ngrokot használja az oldalirányú mozgáshoz, ami végül veszélyezteti a tartományvezérlőt. Ezzel hozzáférést kapnak a kulcsfontosságú rendszerekhez, köztük a Microsoft Exchange szerverekhez, ahol begyűjtik a hitelesítő adatokat. Ezeket a hitelesítő adatokat ezután e-mailben kiszűrik, a támadók pedig feltört domain fiókokat használnak az ellopott adatok kormányzati szervereken történő átirányítására.
Ellátási lánc támadások: növekvő fenyegetés
Az OilRig támadási stratégiái nem állnak meg egyetlen szervezetnél. A csoportról ismert, hogy feltört fiókokat használ fel az ellátási lánc támadásaihoz. Ez a taktika lehetővé teszi számukra, hogy fertőzött rendszerekkel adathalász kampányokat indítsanak más célpontok ellen. A potenciális hullámzási hatás túlterjedhet az Öböl-térségen, és az ágazatok szélesebb körét érintheti.
Az OilRig egyre kifinomultabb taktikája, valamint a nem javított sebezhetőségek, például a CVE-2024-30088 kiaknázására való összpontosítás jelentős veszélyt jelent a kormányokra és a kritikus infrastruktúrákra. A kibertámadások előrehaladtával kulcsfontosságú, hogy a szervezetek éberek maradjanak, azonnal alkalmazzák a biztonsági javításokat, és megerősítsék a kiberbiztonsági intézkedéseket az e fejlődő fenyegetésekkel szemben.
Az iráni csoport azon képessége, hogy fejleszteni és finomítani tudja stratégiáit, rávilágít a kiberhadviselés egyre összetettebbé válására, valamint a nemzetközi együttműködés fontosságára e tartós fenyegetések kezelésében.
