Irańska grupa cybernetycznego szpiegostwa OilRig wykorzystuje lukę w jądrze systemu Windows, aby atakować rządy państw Zatoki Perskiej
Irańska grupa cybernetycznego szpiegostwa OilRig, znana również jako APT34 lub Helix Kitten, nasila ataki na podmioty rządowe w regionie Zatoki Perskiej, zgodnie z niedawnym raportem firmy zajmującej się cyberbezpieczeństwem Trend Micro. Grupa ta została powiązana z kilkoma operacjami zgodnymi z interesami państwa irańskiego, ze szczególnym uwzględnieniem infrastruktury krytycznej, zwłaszcza w sektorach energetycznych.
Table of Contents
Nasilające się ataki cybernetyczne w regionie Zatoki Perskiej
Operacje OilRig stały się bardziej agresywne w ostatnich miesiącach. Ich ostatnie cele obejmują sektory rządowe w Zjednoczonych Emiratach Arabskich (ZEA) i innych krajach Zatoki Perskiej. Cechą charakterystyczną tych operacji jest wdrożenie wyrafinowanego backdoora przez podatne serwery Microsoft Exchange.
To tylne wejście umożliwia OilRig wykradanie danych uwierzytelniających i utrzymywanie trwałości w docelowych systemach. Jedną z technik, których używają, jest wykorzystanie CVE-2024-30088, luki w zabezpieczeniach jądra systemu Windows umożliwiającej podniesienie uprawnień, którą Microsoft załatał w czerwcu 2024 r.
Nowe techniki w cybernetycznym szpiegostwie
OilRig udoskonalił swoje podejście, wykorzystując nowo odkryte luki i zaawansowane narzędzia. Wśród ich taktyk:
- Usunięto zasady filtrowania haseł : OilRig wyodrębnia hasła w postaci czystego tekstu, co ułatwia kradzież danych uwierzytelniających.
- Ngrok do tunelowania : To narzędzie do zdalnego monitorowania umożliwia grupie utrzymanie stałego dostępu do naruszonych sieci.
- Wykorzystanie luki CVE-2024-30088 : OilRig wykorzystuje tę lukę w zabezpieczeniach, aby zwiększyć uprawnienia w systemie, a tym samym uzyskać większą kontrolę.
Jednym z głównych punktów wejścia dla tych ataków jest podatny na ataki serwer WWW, którego grupa używa do przesyłania powłoki WWW. Pozwala im to na wykonywanie poleceń PowerShell, umożliwiając pobieranie i przesyłanie plików do i z serwera.
Narażanie systemów krytycznych
Po wejściu do sieci OilRig używa Ngrok do ruchu bocznego, ostatecznie naruszając Kontroler Domeny. Dzięki temu uzyskują dostęp do kluczowych systemów, w tym serwerów Microsoft Exchange, gdzie zbierają dane uwierzytelniające. Dane uwierzytelniające są następnie eksfiltrowane za pośrednictwem poczty e-mail, a atakujący wykorzystują naruszone konta domenowe do kierowania skradzionych danych przez serwery rządowe.
Ataki na łańcuchy dostaw: rosnące zagrożenie
Strategie ataków OilRig nie ograniczają się do pojedynczych organizacji. Wiadomo, że grupa wykorzystuje przejęte konta do przeprowadzania ataków na łańcuchy dostaw. Ta taktyka pozwala im używać zainfekowanych systemów do przeprowadzania kampanii phishingowych przeciwko innym celom. Potencjalny efekt domina może rozszerzyć się poza region Zatoki Perskiej, wpływając na szerszy wachlarz sektorów.
Coraz bardziej wyrafinowane taktyki OilRig, w połączeniu z ich naciskiem na wykorzystywanie niezałatanych luk, takich jak CVE-2024-30088, stanowią poważne zagrożenie dla rządów i krytycznej infrastruktury. Ponieważ cyberataki stają się coraz bardziej zaawansowane, organizacje muszą zachować czujność, szybko stosować poprawki zabezpieczeń i wzmacniać środki cyberbezpieczeństwa w celu obrony przed tymi ewoluującymi zagrożeniami.
Zdolność irańskiego ugrupowania do rozwijania i udoskonalania swoich strategii podkreśla rosnącą złożoność cyberwojny i znaczenie międzynarodowej współpracy w walce z tymi stałymi zagrożeniami.
