Il gruppo di cyberspionaggio iraniano OilRig sfrutta la vulnerabilità del kernel di Windows per colpire i governi del Golfo
Il gruppo di cyberspionaggio iraniano OilRig, noto anche come APT34 o Helix Kitten, sta intensificando i suoi attacchi contro entità governative nella regione del Golfo, secondo un recente rapporto della società di sicurezza informatica Trend Micro. Questo gruppo è stato collegato a diverse operazioni allineate con gli interessi dello stato iraniano, con un focus sulle infrastrutture critiche, in particolare nei settori energetici.
Table of Contents
Attacchi informatici in aumento nella regione del Golfo
Le operazioni di OilRig sono diventate più aggressive negli ultimi mesi. I loro obiettivi recenti includono settori governativi negli Emirati Arabi Uniti (EAU) e altre nazioni del Golfo. Un segno distintivo di queste operazioni è l'implementazione di una backdoor sofisticata attraverso server Microsoft Exchange vulnerabili.
Questa backdoor consente a OilRig di esfiltrare credenziali e mantenere la persistenza nei sistemi presi di mira. Una delle tecniche che usano include lo sfruttamento di CVE-2024-30088, una vulnerabilità di elevazione dei privilegi del kernel di Windows che Microsoft ha patchato a giugno 2024.
Nuove tecniche di spionaggio informatico
OilRig ha perfezionato il suo approccio sfruttando vulnerabilità appena scoperte e strumenti avanzati. Tra le loro tattiche:
- Eliminazione della politica di filtro delle password : OilRig estrae le password in testo pulito, facilitando il furto delle credenziali.
- Ngrok per il tunneling : questo strumento di monitoraggio remoto consente al gruppo di mantenere un accesso persistente alle reti compromesse.
- Sfruttamento di CVE-2024-30088 : OilRig sfrutta questa vulnerabilità per elevare i privilegi all'interno del sistema, aumentandone il controllo.
Uno dei principali punti di accesso per questi attacchi è un server web vulnerabile, che il gruppo usa per caricare una web shell. Ciò consente loro di eseguire comandi PowerShell, abilitando download e upload di file da e verso il server.
Compromissione dei sistemi critici
Una volta all'interno della rete, OilRig usa Ngrok per il movimento laterale, compromettendo in ultima analisi il Domain Controller. In questo modo, ottengono l'accesso ai sistemi chiave, tra cui Microsoft Exchange Server, dove raccolgono le credenziali. Queste credenziali vengono poi esfiltrate tramite e-mail, con gli aggressori che usano account di dominio compromessi per instradare i dati rubati attraverso i server governativi.
Attacchi alla Supply Chain: una minaccia crescente
Le strategie di attacco di OilRig non si fermano alle singole organizzazioni. Il gruppo è noto per sfruttare account compromessi per lanciare attacchi alla supply chain. Questa tattica consente loro di usare sistemi infetti per lanciare campagne di phishing contro altri obiettivi. Il potenziale effetto a catena potrebbe estendersi oltre la regione del Golfo, con un impatto su una gamma più ampia di settori.
Le tattiche sempre più sofisticate di OilRig, unite alla loro attenzione allo sfruttamento di vulnerabilità non corrette come CVE-2024-30088, rappresentano una minaccia significativa per i governi e le infrastrutture critiche. Man mano che gli attacchi informatici diventano più avanzati, è fondamentale che le organizzazioni rimangano vigili, applicando tempestivamente patch di sicurezza e rafforzando le misure di sicurezza informatica per difendersi da queste minacce in evoluzione.
La capacità del gruppo iraniano di evolvere e perfezionare le proprie strategie evidenzia la crescente complessità della guerra informatica e l'importanza della cooperazione internazionale per affrontare queste minacce persistenti.
