Επίθεση Ιρανών χάκερ στο λειτουργικό σύστημα Windows

Ο ιρανικός όμιλος hacking APT34, γνωστός και ως OilRig, έχει κλιμακώσει πρόσφατα τις δραστηριότητές του με νέες εκστρατείες που στοχεύουν κυβερνητικές οντότητες και φορείς υποδομής ζωτικής σημασίας στα Ηνωμένα Αραβικά Εμιράτα και στην περιοχή του Κόλπου.

Σε αυτές τις επιθέσεις, που εντόπισαν ερευνητές της Trend Micro, η OilRig ανέπτυξε μια νέα κερκόπορτα, στοχεύοντας διακομιστές Microsoft Exchange για να κλέψει διαπιστευτήρια, και επίσης εκμεταλλεύτηκε το ελάττωμα των Windows CVE-2024-30088 για να αυξήσει τα προνόμιά τους σε παραβιασμένες συσκευές.

Εκτός από τη δραστηριότητα, η Trend Micro έχει επίσης κάνει μια σύνδεση μεταξύ της OilRig και της FOX Kitten, μιας άλλης ομάδας APT με έδρα το Ιράν που εμπλέκεται σε επιθέσεις ransomware.

Τελευταία αλυσίδα επίθεσης OilRig

Οι επιθέσεις που βλέπει η Trend Micro ξεκινούν με την εκμετάλλευση ενός ευάλωτου διακομιστή ιστού για τη μεταφόρτωση ενός κελύφους ιστού, δίνοντας στους εισβολείς τη δυνατότητα να εκτελέσουν απομακρυσμένο κώδικα και εντολές PowerShell.

Μόλις το κέλυφος ιστού είναι ενεργό, το OilRig το αξιοποιεί για να αναπτύξει πρόσθετα εργαλεία, συμπεριλαμβανομένου ενός στοιχείου που έχει σχεδιαστεί για να εκμεταλλεύεται το ελάττωμα των Windows CVE-2024-30088.

Το CVE-2024-30088 είναι μια ευπάθεια κλιμάκωσης προνομίων υψηλής σοβαρότητας που η Microsoft διόρθωσε τον Ιούνιο του 2024, επιτρέποντας στους εισβολείς να κλιμακώσουν τα προνόμιά τους στο επίπεδο SYSTEM, δίνοντάς τους σημαντικό έλεγχο στις παραβιασμένες συσκευές.

Microsoft έχει αναγνωρίσει ένα proof-of-concept exploit για το CVE-2024-30088, αλλά δεν έχει ακόμη επισημάνει το ελάττωμα ως ενεργό εκμετάλλευση στην πύλη ασφαλείας του. Η CISA επίσης δεν το έχει αναφέρει όπως είχε χρησιμοποιηθεί στο παρελθόν στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπάθειας.

Στη συνέχεια, η OilRig καταχωρεί ένα DLL φίλτρου κωδικού πρόσβασης για να υποκλέψει διαπιστευτήρια απλού κειμένου κατά τη διάρκεια συμβάντων αλλαγής κωδικού πρόσβασης και στη συνέχεια κατεβάζει και εγκαθιστά το εργαλείο απομακρυσμένης παρακολούθησης και διαχείρισης «ngrok», που χρησιμοποιείται για κρυφές επικοινωνίες μέσω ασφαλών τούνελ.

Μια άλλη νέα τακτική από τους φορείς απειλών είναι η εκμετάλλευση των διακομιστών Microsoft Exchange εσωτερικής εγκατάστασης για την κλοπή διαπιστευτηρίων και τη διείσδυση ευαίσθητων δεδομένων μέσω νόμιμης κίνησης email που είναι δύσκολο να εντοπιστεί.

Η διείσδυση διευκολύνεται από μια νέα κερκόπορτα που ονομάζεται «StealHook», ενώ η Trend Micro λέει ότι η κρατική υποδομή χρησιμοποιείται συχνά ως σημείο αναφοράς για να κάνει τη διαδικασία να φαίνεται νόμιμη.

“Ο βασικός στόχος αυτού του σταδίου είναι να συλλάβει τους κλεμμένους κωδικούς πρόσβασης και να τους μεταδώσει στους εισβολείς ως συνημμένα email.” εξηγεί η Trend Micro στην έκθεση.

“Επιπλέον, παρατηρήσαμε ότι οι φορείς απειλών χρησιμοποιούν νόμιμους λογαριασμούς με κλεμμένους κωδικούς πρόσβασης για να δρομολογούν αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μέσω κυβερνητικών διακομιστών Exchange.”

Η TrendMicro λέει ότι υπάρχουν ομοιότητες κώδικα μεταξύ του StealHook και των backdoors OilRig που χρησιμοποιήθηκαν σε προηγούμενες καμπάνιες, όπως το Karkoff, επομένως το τελευταίο κακόβουλο λογισμικό φαίνεται να είναι ένα εξελικτικό βήμα και όχι μια νέα δημιουργία από την αρχή.

Επίσης, δεν είναι η πρώτη φορά που η OilRig χρησιμοποιεί διακομιστές Microsoft Exchange ως ενεργό στοιχείο των επιθέσεων τους. Σχεδόν πριν από ένα χρόνο, η Symantec ανέφερε ότι το APT34 εγκατέστησε μια κερκόπορτα PowerShell με την ονομασία «PowerExchange» σε διακομιστές του Exchange εσωτερικού χώρου, ικανούς να λαμβάνουν και να εκτελούν εντολές μέσω email.

Ο παράγοντας της απειλής παραμένει ιδιαίτερα ενεργός στην περιοχή της Μέσης Ανατολής και η σχέση του με το FOX Kitten, αν και είναι ασαφής αυτή τη στιγμή, είναι ανησυχητική για τη δυνατότητα προσθήκης ransomware στο οπλοστάσιό του.

Δεδομένου ότι οι περισσότερες από τις στοχευόμενες οντότητες είναι στον ενεργειακό τομέα, σύμφωνα με την Trend Micro, οι λειτουργικές διακοπές σε αυτούς τους οργανισμούς θα μπορούσαν να επηρεάσουν σοβαρά πολλούς ανθρώπους.