伊朗網路間諜組織 OilRig 利用 Windows 核心漏洞瞄準海灣政府

根據網路安全公司趨勢科技最近的一份報告，伊朗網路間諜組織 OilRig（也稱為 APT34 或 Helix Kitten）正在加強對海灣地區政府實體的攻擊力度。該組織與多項符合伊朗國家利益的行動有聯繫，並專注於關鍵基礎設施，特別是能源領域。

海灣地區網路攻擊不斷升級

近幾個月來，OilRig 的業務變得更加激進。他們最近的目標包括阿拉伯聯合大公國（阿聯酋）和其他海灣國家的政府部門。這些操作的一個特點是透過易受攻擊的 Microsoft Exchange 伺服器部署複雜的後門。

此後門使 OilRig 能夠竊取憑證並在目標系統中保持持久性。他們使用的技術之一包括利用 CVE-2024-30088，這是 Microsoft 於 2024 年 6 月修補的 Windows 核心特權提升漏洞。

網路間諜新技術

OilRig 透過利用新發現的漏洞和先進工具來改進了其方法。他們的策略包括：

• 刪除密碼過濾原則：OilRig 提取純文字密碼，讓竊取憑證變得更容易。
• 用於隧道的 Ngrok ：這種遠端監控工具允許該組織保持對受感染網路的持久存取。
• 利用 CVE-2024-30088 ：OilRig 利用此漏洞提升系統內的權限，進而增強其控制力。

這些攻擊的主要入口點之一是易受攻擊的 Web 伺服器，該組織使用該伺服器上傳 Web shell。這使他們能夠執行 PowerShell 命令，從而能夠從伺服器下載和上傳檔案。

危及關鍵系統

一旦進入網絡，OilRig 使用 Ngrok 進行橫向移動，最終損害網域控制器。透過這樣做，他們可以存取關鍵系統，包括 Microsoft Exchange Server，並從中取得憑證。然後，這些憑證透過電子郵件洩露，攻擊者使用受損的網域帳戶透過政府伺服器路由被盜的資料。

供應鏈攻擊：日益嚴重的威脅

OilRig 的攻擊策略並不限於單一組織。眾所周知，該組織利用受損帳戶發動供應鏈攻擊。這種策略允許他們使用受感染的系統針對其他目標發起網路釣魚活動。潛在的連鎖反應可能會延伸到海灣地區以外，影響更廣泛的產業。

OilRig 日益複雜的策略，加上他們專注於利用 CVE-2024-30088 等未修補的漏洞，對政府和關鍵基礎設施構成了重大威脅。隨著網路攻擊變得更加先進，組織必須保持警惕，及時應用安全修補程式並加強網路安全措施以防禦這些不斷變化的威脅。

伊朗組織發展和改善其策略的能力凸顯了網路戰日益複雜的情況，以及國際合作應對這些持續威脅的重要性。