Iranska cyberspionagegruppen OilRig utnyttjar Windows-kärnas sårbarhet för att rikta sig mot Gulf-regeringarna

Den iranska cyberspionagegruppen OilRig, även känd som APT34 eller Helix Kitten, ökar sina attacker mot statliga enheter i Gulfregionen, enligt en färsk rapport från cybersäkerhetsföretaget Trend Micro. Denna grupp har kopplats till flera operationer i linje med den iranska statens intressen, med fokus på kritisk infrastruktur, särskilt inom energisektorerna.

Eskalerande cyberattacker i Gulfregionen

OilRigs verksamhet har blivit mer aggressiv de senaste månaderna. Deras senaste mål inkluderar statliga sektorer i Förenade Arabemiraten (UAE) och andra Gulfstater. Ett kännetecken för dessa operationer är utplaceringen av en sofistikerad bakdörr genom sårbara Microsoft Exchange-servrar.

Den här bakdörren gör det möjligt för OilRig att exfiltrera referenser och upprätthålla uthållighet inom de riktade systemen. En av teknikerna de använder inkluderar att utnyttja CVE-2024-30088, en sårbarhet för utökad behörighet i Windows-kärnan som Microsoft korrigerade i juni 2024.

Nya tekniker inom cyberspionage

OilRig har förfinat sitt tillvägagångssätt genom att dra nytta av nyupptäckta sårbarheter och avancerade verktyg. Bland deras taktik:

• Borttagen lösenordsfilterpolicy : OilRig extraherar rentextlösenord, vilket gör det lättare att stjäla referenser.
• Ngrok för tunnling : Detta fjärrövervakningsverktyg gör att gruppen kan upprätthålla beständig åtkomst till komprometterade nätverk.
• Utnyttja CVE-2024-30088 : OilRig använder denna sårbarhet för att höja privilegier inom systemet, vilket ökar deras kontroll.

En av de primära ingångspunkterna för dessa attacker är en sårbar webbserver, som gruppen använder för att ladda upp ett webbskal. Detta gör att de kan köra PowerShell-kommandon, vilket möjliggör nedladdning av filer och uppladdningar till och från servern.

Kompromissa med kritiska system

Väl inne i nätverket använder OilRig Ngrok för sidorörelse, vilket i slutändan äventyrar domänkontrollanten. Genom att göra det får de tillgång till nyckelsystem, inklusive Microsoft Exchange-servrar, där de samlar in referenser. Dessa referenser exfiltreras sedan via e-post, med angripare som använder komprometterade domänkonton för att dirigera stulna data genom statliga servrar.

Supply Chain Attacks: Ett växande hot

OilRigs attackstrategier stannar inte vid enskilda organisationer. Gruppen har varit känd för att utnyttja komprometterade konton för att starta attacker i leveranskedjan. Denna taktik tillåter dem att använda infekterade system för att lansera nätfiskekampanjer mot andra mål. Den potentiella ringeffekten kan sträcka sig bortom Gulfregionen och påverka ett bredare spektrum av sektorer.

OilRigs allt mer sofistikerade taktik, i kombination med deras fokus på att utnyttja oparpade sårbarheter som CVE-2024-30088, utgör ett betydande hot mot regeringar och kritisk infrastruktur. I takt med att cyberattacker blir mer avancerade är det avgörande för organisationer att vara vaksamma, tillämpa säkerhetskorrigeringar omedelbart och förstärka cybersäkerhetsåtgärder för att försvara sig mot dessa föränderliga hot.

Den iranska gruppens förmåga att utveckla och förfina sina strategier belyser den växande komplexiteten i cyberkrigföring och vikten av internationellt samarbete för att hantera dessa ihållande hot.