伊朗网络间谍组织 OilRig 利用 Windows 内核漏洞攻击海湾国家政府
据网络安全公司 Trend Micro 最近发布的报告显示,伊朗网络间谍组织 OilRig(又名 APT34 或 Helix Kitten)正在加大对海湾地区政府实体的攻击力度。该组织与多项符合伊朗国家利益的行动有关,重点关注关键基础设施,尤其是能源领域。
Table of Contents
海湾地区网络攻击不断升级
近几个月来,OilRig 的行动愈发激进。他们近期的目标包括阿拉伯联合酋长国 (UAE) 和其他海湾国家的政府部门。这些行动的一大特点是通过易受攻击的 Microsoft Exchange 服务器部署复杂的后门。
该后门使 OilRig 能够窃取凭据并在目标系统中保持持久性。他们使用的技术之一包括利用 CVE-2024-30088,这是 Microsoft 于 2024 年 6 月修补的 Windows 内核特权提升漏洞。
网络间谍活动的新技术
OilRig 利用新发现的漏洞和先进工具改进了其方法。他们的策略包括:
- 放弃密码过滤策略:OilRig 提取干净文本密码,从而更容易窃取凭证。
- Ngrok 用于隧道传输:此远程监控工具允许该组织保持对受感染网络的持续访问。
- 利用 CVE-2024-30088 :OilRig 利用此漏洞提升系统内的权限,从而增强其控制力。
这些攻击的主要入口点之一是存在漏洞的 Web 服务器,该组织使用该服务器上传 Web Shell。这样他们便可以执行 PowerShell 命令,从而实现从服务器下载和上传文件。
危及关键系统
一旦进入网络,OilRig 就会使用 Ngrok 进行横向移动,最终攻陷域控制器。通过这样做,他们可以访问关键系统,包括 Microsoft Exchange Servers,并从中获取凭据。然后,这些凭据通过电子邮件泄露,攻击者使用被攻陷的域帐户将窃取的数据路由到政府服务器。
供应链攻击:日益严重的威胁
OilRig 的攻击策略并不局限于单个组织。该组织利用被盗账户发起供应链攻击。这种策略使他们能够利用受感染的系统对其他目标发起网络钓鱼活动。潜在的连锁反应可能会超出海湾地区,影响更广泛的行业。
OilRig 的攻击手段越来越复杂,而且他们专注于利用 CVE-2024-30088 等未修补的漏洞,这对政府和关键基础设施构成了重大威胁。随着网络攻击变得越来越先进,组织必须保持警惕,及时应用安全补丁并加强网络安全措施,以抵御这些不断演变的威胁。
伊朗组织不断发展和完善其战略的能力凸显了网络战日益复杂的特点以及国际合作对应对这些持续威胁的重要性。
