Iraanse cyberespionagegroep boorplatform maakt misbruik van kwetsbaarheid in Windows-kernel om Golfregeringen aan te vallen
De Iraanse cyberespionagegroep OilRig, ook bekend als APT34 of Helix Kitten, voert haar aanvallen op overheidsinstanties in de Golfregio op , volgens een recent rapport van cybersecuritybedrijf Trend Micro. Deze groep is in verband gebracht met verschillende operaties die aansluiten bij de Iraanse staatsbelangen, met een focus op kritieke infrastructuur, met name in de energiesector.
Table of Contents
Toenemende cyberaanvallen in de Golfregio
De activiteiten van OilRig zijn de afgelopen maanden agressiever geworden. Hun recente doelen zijn overheidssectoren in de Verenigde Arabische Emiraten (VAE) en andere Golfstaten. Een kenmerk van deze activiteiten is de inzet van een geavanceerde backdoor via kwetsbare Microsoft Exchange-servers.
Deze backdoor stelt OilRig in staat om credentials te exfiltreren en persistentie te behouden binnen de beoogde systemen. Een van de technieken die ze gebruiken is het exploiteren van CVE-2024-30088, een Windows kernel elevation of privilege vulnerability die Microsoft in juni 2024 patchte.
Nieuwe technieken in cyberspionage
OilRig heeft zijn aanpak verfijnd door gebruik te maken van nieuw ontdekte kwetsbaarheden en geavanceerde tools. Hun tactieken omvatten:
- Beleid voor filter bij weggelaten wachtwoorden : OilRig extraheert wachtwoorden in schone tekst, waardoor het gemakkelijker wordt om inloggegevens te stelen.
- Ngrok voor tunneling : Met deze tool voor externe bewaking kan de groep permanente toegang tot gecompromitteerde netwerken behouden.
- Exploitatie van CVE-2024-30088 : OilRig maakt gebruik van deze kwetsbaarheid om privileges binnen het systeem te verhogen en zo hun controle te vergroten.
Een van de primaire toegangspunten voor deze aanvallen is een kwetsbare webserver, die de groep gebruikt om een webshell te uploaden. Hierdoor kunnen ze PowerShell-opdrachten uitvoeren, waardoor het mogelijk wordt om bestanden te downloaden en te uploaden naar en van de server.
Kritieke systemen in gevaar brengen
Eenmaal binnen het netwerk gebruikt OilRig Ngrok voor laterale beweging, wat uiteindelijk de Domain Controller compromitteert. Door dit te doen krijgen ze toegang tot belangrijke systemen, waaronder Microsoft Exchange Servers, waar ze inloggegevens verzamelen. Deze inloggegevens worden vervolgens via e-mail geëxfiltreerd, waarbij aanvallers gecompromitteerde domeinaccounts gebruiken om de gestolen gegevens via overheidsservers te routeren.
Aanvallen op de toeleveringsketen: een groeiende bedreiging
De aanvalsstrategieën van OilRig beperken zich niet tot afzonderlijke organisaties. De groep staat erom bekend gecompromitteerde accounts te gebruiken om aanvallen op de toeleveringsketen te lanceren. Met deze tactiek kunnen ze geïnfecteerde systemen gebruiken om phishingcampagnes tegen andere doelen te lanceren. Het potentiële domino-effect zou verder kunnen reiken dan de Golfregio en een breder scala aan sectoren kunnen beïnvloeden.
De steeds geavanceerdere tactieken van OilRig, gecombineerd met hun focus op het exploiteren van ongepatchte kwetsbaarheden zoals CVE-2024-30088, vormen een aanzienlijke bedreiging voor overheden en kritieke infrastructuur. Naarmate cyberaanvallen geavanceerder worden, is het cruciaal voor organisaties om waakzaam te blijven, beveiligingspatches snel toe te passen en cyberbeveiligingsmaatregelen te versterken om zich te verdedigen tegen deze evoluerende bedreigingen.
Het vermogen van de Iraanse groep om hun strategieën te ontwikkelen en te verfijnen, onderstreept de groeiende complexiteit van cyberoorlogvoering en het belang van internationale samenwerking om deze aanhoudende bedreigingen aan te pakken.
