Iranian Cyberespionage Group OilRig utnytter Windows-kjernens sårbarhet for å målrette gulfregjeringer

Den iranske cyberspionasjegruppen OilRig, også kjent som APT34 eller Helix Kitten, øker angrepene sine på statlige enheter i Gulf-regionen, ifølge en fersk rapport fra nettsikkerhetsfirmaet Trend Micro. Denne gruppen har vært knyttet til flere operasjoner på linje med iranske statsinteresser, med fokus på kritisk infrastruktur, spesielt i energisektorer.

Eskalerende nettangrep i Gulf-regionen

OilRigs virksomhet har blitt mer aggressiv de siste månedene. Deres nylige mål inkluderer offentlige sektorer i De forente arabiske emirater (UAE) og andre Gulf-nasjoner. Et kjennetegn ved disse operasjonene er utplasseringen av en sofistikert bakdør gjennom sårbare Microsoft Exchange-servere.

Denne bakdøren gjør det mulig for OilRig å eksfiltrere legitimasjon og opprettholde utholdenhet innenfor de målrettede systemene. En av teknikkene de bruker inkluderer å utnytte CVE-2024-30088, en Windows-kjerne-utvidelse av rettighetssårbarhet som Microsoft korrigerte i juni 2024.

Nye teknikker innen cyberspionasje

OilRig har forbedret sin tilnærming ved å dra nytte av nyoppdagede sårbarheter og avanserte verktøy. Blant deres taktikker:

• Uteladt passordfilterpolicy : OilRig trekker ut rentekstpassord, noe som gjør det lettere å stjele legitimasjon.
• Ngrok for tunneling : Dette fjernovervåkingsverktøyet lar gruppen opprettholde vedvarende tilgang til kompromitterte nettverk.
• Utnytter CVE-2024-30088 : OilRig bruker denne sårbarheten til å heve privilegier i systemet, og øke kontrollen deres.

En av de primære inngangspunktene for disse angrepene er en sårbar webserver, som gruppen bruker til å laste opp et web-skall. Dette lar dem utføre PowerShell-kommandoer, og muliggjør filnedlasting og opplasting til og fra serveren.

Kompromiss med kritiske systemer

En gang inne i nettverket bruker OilRig Ngrok for sideveis bevegelse, og til slutt kompromitterer domenekontrolleren. Ved å gjøre det får de tilgang til nøkkelsystemer, inkludert Microsoft Exchange-servere, hvor de henter inn legitimasjon. Disse legitimasjonene blir deretter eksfiltrert via e-post, med angripere som bruker kompromitterte domenekontoer for å rute de stjålne dataene gjennom offentlige servere.

Supply Chain Attacks: En voksende trussel

OilRigs angrepsstrategier stopper ikke ved enkeltorganisasjoner. Gruppen har vært kjent for å utnytte kompromitterte kontoer for å starte forsyningskjedeangrep. Denne taktikken lar dem bruke infiserte systemer til å lansere phishing-kampanjer mot andre mål. Den potensielle ringvirkningen kan strekke seg utover Gulf-regionen, og påvirke et bredere spekter av sektorer.

OilRigs stadig mer sofistikerte taktikk, kombinert med deres fokus på å utnytte uopprettede sårbarheter som CVE-2024-30088, representerer en betydelig trussel mot myndigheter og kritisk infrastruktur. Etter hvert som cyberangrep blir mer avanserte, er det avgjørende for organisasjoner å være årvåkne, bruke sikkerhetsoppdateringer raskt og forsterke cybersikkerhetstiltak for å forsvare seg mot disse utviklende truslene.

Den iranske gruppens evne til å utvikle og foredle sine strategier fremhever den økende kompleksiteten til cyberkrigføring, og viktigheten av internasjonalt samarbeid for å møte disse vedvarende truslene.