イランのサイバースパイ集団 OilRig が Windows カーネルの脆弱性を悪用し湾岸諸国の政府を標的に

サイバーセキュリティ企業トレンドマイクロの最近のレポートによると、APT34またはHelix Kittenとしても知られるイランのサイバースパイ集団OilRigは、湾岸地域の政府機関への攻撃を強化している。この集団は、特にエネルギー部門の重要インフラを標的とし、イランの国家利益に合致する複数の作戦に関与しているとされている。

湾岸地域でサイバー攻撃が激化

OilRig の活動はここ数か月でさらに攻撃的になっています。最近のターゲットには、アラブ首長国連邦 (UAE) やその他の湾岸諸国の政府部門が含まれています。これらの活動の特徴は、脆弱な Microsoft Exchange サーバーを介して高度なバックドアを展開することです。

このバックドアにより、OilRig は資格情報を盗み出し、標的のシステム内で永続性を維持できます。彼らが使用する手法の 1 つに、Microsoft が 2024 年 6 月に修正した Windows カーネルの権限昇格の脆弱性である CVE-2024-30088 を悪用するものがあります。

サイバースパイ活動における新たな手法

OilRig は、新たに発見された脆弱性と高度なツールを利用して、そのアプローチを改良しました。その戦術には次のようなものがあります。

• パスワード フィルター ポリシーの削除: OilRig はクリーン テキストのパスワードを抽出し、資格情報の盗難を容易にします。
• トンネリング用の Ngrok : このリモート監視ツールにより、グループは侵害されたネットワークへの永続的なアクセスを維持できます。
• CVE-2024-30088 の悪用: OilRig はこの脆弱性を利用してシステム内の権限を昇格し、制御を強化します。

これらの攻撃の主なエントリ ポイントの 1 つは脆弱な Web サーバーであり、このサーバーは攻撃グループが Web シェルをアップロードするために使用します。これにより、PowerShell コマンドが実行され、サーバーとの間でファイルのダウンロードとアップロードが可能になります。

重要なシステムの侵害

OilRig はネットワークに侵入すると、Ngrok を使用して横方向の移動を行い、最終的にドメイン コントローラを侵害します。これにより、Microsoft Exchange Server などの重要なシステムにアクセスし、資格情報を収集します。その後、これらの資格情報は電子メールで盗み出され、攻撃者は侵害されたドメイン アカウントを使用して、盗んだデータを政府のサーバーにルーティングします。

サプライチェーン攻撃：増大する脅威

OilRig の攻撃戦略は、単一の組織に留まりません。このグループは、侵害されたアカウントを利用してサプライ チェーン攻撃を仕掛けることで知られています。この戦術により、感染したシステムを使用して他のターゲットに対してフィッシング キャンペーンを仕掛けることができます。潜在的な波及効果は湾岸地域を超えて、より広範なセクターに影響を及ぼす可能性があります。

OilRig のますます高度化する戦術は、CVE-2024-30088 のようなパッチ未適用の脆弱性を悪用することに重点を置いていることと相まって、政府や重要なインフラに対する重大な脅威となります。サイバー攻撃が高度化するにつれて、組織は警戒を怠らず、セキュリティ パッチを速やかに適用し、進化する脅威から身を守るためにサイバー セキュリティ対策を強化することが重要です。

イランのグループが戦略を進化させ、洗練させる能力は、サイバー戦争の複雑さが増していること、そしてこれらの絶え間ない脅威に対処するための国際協力の重要性を浮き彫りにしている。