Irano kibernetinio šnipinėjimo grupė „OilRig“ išnaudoja „Windows“ branduolio pažeidžiamumą, kad taikytųsi į Persijos įlankos vyriausybes

Remiantis naujausia kibernetinio saugumo įmonės „Trend Micro“ ataskaita, Irano kibernetinio šnipinėjimo grupė „OilRig“, dar žinoma kaip APT34 arba „Helix Kitten“, stiprina savo atakas prieš vyriausybines institucijas Persijos įlankos regione. Ši grupė buvo susijusi su keliomis operacijomis, suderintomis su Irano valstybės interesais, daugiausia dėmesio skiriant ypatingos svarbos infrastruktūrai, ypač energetikos sektoriuose.

Eskaluojamos kibernetinės atakos Persijos įlankos regione

Pastaraisiais mėnesiais „OilRig“ veikla tapo agresyvesnė. Pastaruoju metu jų taikiniai yra Jungtinių Arabų Emyratų (JAE) ir kitų Persijos įlankos šalių vyriausybės sektoriai. Šių operacijų bruožas yra sudėtingų užpakalinių durų diegimas per pažeidžiamus Microsoft Exchange serverius.

Šios užpakalinės durys leidžia „OilRig“ išfiltruoti kredencialus ir išlaikyti pastovumą tikslinėse sistemose. Vienas iš jų naudojamų metodų apima CVE-2024-30088, „Windows“ branduolio privilegijų padidinimo pažeidžiamumo, kurį „Microsoft“ pataisė 2024 m. birželio mėn., naudojimą.

Nauji kibernetinio šnipinėjimo būdai

„OilRig“ patobulino savo požiūrį, pasinaudodama naujai atrastomis pažeidžiamomis vietomis ir pažangiais įrankiais. Tarp jų taktikų:

• Atsisakyta slaptažodžių filtro politika : „OilRig“ išskiria švaraus teksto slaptažodžius, todėl lengviau pavogti kredencialus.
• Ngrok tuneliavimui : šis nuotolinio stebėjimo įrankis leidžia grupei išlaikyti nuolatinę prieigą prie pažeistų tinklų.
• CVE-2024-30088 išnaudojimas : „OilRig“ naudoja šį pažeidžiamumą, kad padidintų privilegijas sistemoje ir padidintų jų kontrolę.

Vienas iš pagrindinių šių atakų įėjimo taškų yra pažeidžiamas žiniatinklio serveris, kurį grupė naudoja žiniatinklio apvalkalui įkelti. Tai leidžia jiems vykdyti „PowerShell“ komandas ir įgalinti failų atsisiuntimą bei įkėlimą į serverį ir iš jo.

Kompromituojančios kritinės sistemos

Patekęs į tinklą, „OilRig“ naudoja „Ngrok“ judėjimui į šoną, galiausiai pakenkdamas domeno valdikliui. Tai darydami jie įgyja prieigą prie pagrindinių sistemų, įskaitant „Microsoft Exchange Server“, kur renka kredencialus. Tada šie kredencialai išfiltruojami el. paštu, o užpuolikai naudoja pažeistas domeno paskyras, kad pavogtus duomenis nukreiptų per vyriausybės serverius.

Tiekimo grandinės išpuoliai: didėjanti grėsmė

„OilRig“ puolimo strategijos neapsiriboja pavienėmis organizacijomis. Buvo žinoma, kad grupė naudoja pažeistas paskyras, kad galėtų pradėti tiekimo grandinės atakas. Ši taktika leidžia jiems naudoti užkrėstas sistemas sukčiavimo kampanijoms prieš kitus taikinius pradėti. Galimas bangavimo efektas gali plisti už Persijos įlankos regiono ribų ir paveikti platesnį sektorių spektrą.

Vis sudėtingesnė „OilRig“ taktika ir dėmesys nepataisytų pažeidžiamumų, tokių kaip CVE-2024-30088, išnaudojimui kelia didelę grėsmę vyriausybėms ir svarbiai infrastruktūrai. Kadangi kibernetinės atakos tampa vis pažangesnės, organizacijoms labai svarbu išlikti budrioms, greitai pritaikyti saugos pataisas ir sustiprinti kibernetinio saugumo priemones, skirtas apsiginti nuo šių besivystančių grėsmių.

Irano grupės gebėjimas vystytis ir tobulinti savo strategijas pabrėžia didėjantį kibernetinio karo sudėtingumą ir tarptautinio bendradarbiavimo svarbą sprendžiant šias nuolatines grėsmes.