Иранская кибершпионская группировка OilRig использует уязвимость ядра Windows для атак на правительства стран Персидского залива

Иранская кибершпионская группа OilRig, также известная как APT34 или Helix Kitten, наращивает свои атаки на правительственные структуры в регионе Персидского залива, согласно недавнему отчету компании по кибербезопасности Trend Micro. Эта группа была связана с несколькими операциями, связанными с государственными интересами Ирана, с упором на критически важную инфраструктуру, особенно в энергетическом секторе.

Эскалация кибератак в регионе Персидского залива

Операции OilRig стали более агрессивными в последние месяцы. Их недавние цели включают правительственные секторы в Объединенных Арабских Эмиратах (ОАЭ) и других странах Персидского залива. Отличительной чертой этих операций является развертывание сложного бэкдора через уязвимые серверы Microsoft Exchange.

Этот бэкдор позволяет OilRig изымать учетные данные и сохранять устойчивость в целевых системах. Один из используемых ими методов включает эксплуатацию CVE-2024-30088, уязвимости ядра Windows, повышающей привилегии, которую Microsoft исправила в июне 2024 года.

Новые методы кибершпионажа

OilRig усовершенствовал свой подход, используя недавно обнаруженные уязвимости и передовые инструменты. Среди их тактик:

• Отказ от политики фильтрации паролей : OilRig извлекает пароли в виде чистого текста, что упрощает кражу учетных данных.
• Ngrok для туннелирования : этот инструмент удаленного мониторинга позволяет группе поддерживать постоянный доступ к скомпрометированным сетям.
• Эксплуатация CVE-2024-30088 : OilRig использует эту уязвимость для повышения привилегий в системе, усиливая свой контроль.

Одной из основных точек входа для этих атак является уязвимый веб-сервер, который группа использует для загрузки веб-шелла. Это позволяет им выполнять команды PowerShell, позволяя загружать и выгружать файлы на сервер и с него.

Компрометация критически важных систем

Попав в сеть, OilRig использует Ngrok для горизонтального перемещения, в конечном итоге компрометируя контроллер домена. Таким образом, они получают доступ к ключевым системам, включая серверы Microsoft Exchange, где они собирают учетные данные. Затем эти учетные данные вывозятся по электронной почте, а злоумышленники используют скомпрометированные учетные записи домена для маршрутизации украденных данных через правительственные серверы.

Атаки на цепочки поставок: растущая угроза

Стратегии атак OilRig не ограничиваются отдельными организациями. Известно, что группа использует скомпрометированные учетные записи для запуска атак на цепочки поставок. Эта тактика позволяет им использовать зараженные системы для запуска фишинговых кампаний против других целей. Потенциальный волновой эффект может выйти за пределы региона Персидского залива, затронув более широкий спектр секторов.

Все более изощренная тактика OilRig в сочетании с ее фокусом на эксплуатации неисправленных уязвимостей, таких как CVE-2024-30088, представляет собой существенную угрозу для правительств и критической инфраструктуры. Поскольку кибератаки становятся все более продвинутыми, организациям крайне важно сохранять бдительность, оперативно применяя исправления безопасности и усиливая меры кибербезопасности для защиты от этих развивающихся угроз.

Способность иранской группировки развивать и совершенствовать свои стратегии подчеркивает растущую сложность кибервойны и важность международного сотрудничества для противодействия этим постоянным угрозам.