Grupo iraniano de ciberespionagem OilRig explora vulnerabilidade do kernel do Windows para atingir governos do Golfo
O grupo iraniano de ciberespionagem OilRig, também conhecido como APT34 ou Helix Kitten, está aumentando seus ataques a entidades governamentais na região do Golfo, de acordo com um relatório recente da empresa de segurança cibernética Trend Micro. Este grupo tem sido vinculado a várias operações alinhadas com os interesses do estado iraniano, com foco em infraestrutura crítica, especialmente em setores de energia.
Table of Contents
Aumento de ataques cibernéticos na região do Golfo
As operações da OilRig se tornaram mais agressivas nos últimos meses. Seus alvos recentes incluem setores governamentais nos Emirados Árabes Unidos (EAU) e outras nações do Golfo. Uma característica dessas operações é a implantação de um backdoor sofisticado por meio de servidores Microsoft Exchange vulneráveis.
Este backdoor permite que a OilRig exfiltre credenciais e mantenha a persistência dentro dos sistemas visados. Uma das técnicas que eles usam inclui explorar CVE-2024-30088, uma vulnerabilidade de elevação de privilégio do kernel do Windows que a Microsoft corrigiu em junho de 2024.
Novas Técnicas em Espionagem Cibernética
A OilRig refinou sua abordagem tirando vantagem de vulnerabilidades recém-descobertas e ferramentas avançadas. Entre suas táticas:
- Política de filtro de senha descartada : o OilRig extrai senhas de texto limpo, facilitando o roubo de credenciais.
- Ngrok para tunelamento : esta ferramenta de monitoramento remoto permite que o grupo mantenha acesso persistente às redes comprometidas.
- Explorando CVE-2024-30088 : OilRig usa essa vulnerabilidade para elevar privilégios dentro do sistema, aumentando seu controle.
Um dos principais pontos de entrada para esses ataques é um servidor web vulnerável, que o grupo usa para carregar um shell web. Isso permite que eles executem comandos do PowerShell, permitindo downloads e uploads de arquivos de e para o servidor.
Comprometendo sistemas críticos
Uma vez dentro da rede, a OilRig usa o Ngrok para movimentação lateral, comprometendo, em última análise, o Controlador de Domínio. Ao fazer isso, eles ganham acesso a sistemas-chave, incluindo Microsoft Exchange Servers, onde coletam credenciais. Essas credenciais são então exfiltradas por e-mail, com os invasores usando contas de domínio comprometidas para rotear os dados roubados por meio de servidores do governo.
Ataques à cadeia de suprimentos: uma ameaça crescente
As estratégias de ataque da OilRig não param em organizações individuais. O grupo é conhecido por alavancar contas comprometidas para lançar ataques à cadeia de suprimentos. Essa tática permite que eles usem sistemas infectados para lançar campanhas de phishing contra outros alvos. O potencial efeito cascata pode se estender além da região do Golfo, impactando uma gama mais ampla de setores.
As táticas cada vez mais sofisticadas da OilRig, combinadas com seu foco na exploração de vulnerabilidades não corrigidas como CVE-2024-30088, representam uma ameaça significativa para governos e infraestrutura crítica. À medida que os ataques cibernéticos se tornam mais avançados, é crucial que as organizações permaneçam vigilantes, aplicando patches de segurança prontamente e reforçando medidas de segurança cibernética para se defender contra essas ameaças em evolução.
A capacidade do grupo iraniano de evoluir e refinar suas estratégias destaca a crescente complexidade da guerra cibernética e a importância da cooperação internacional para lidar com essas ameaças persistentes.
