Um ator de ameaça iraniano conhecido como OilRig foi flagrado usando uma exploração recém-instalada que afeta o kernel do Windows como parte de uma campanha de espionagem cibernética visando os Emirados Árabes Unidos e toda a região do Golfo.
“O grupo usa táticas avançadas, incluindo a instalação de um backdoor usando servidores Microsoft Exchange para roubar informações e o uso de vulnerabilidades como CVE-2024-30088 para aumentar as chances”, disseram os pesquisadores da Trend Micro, Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal e Nick Dai. em análise publicada na sexta-feira.
A empresa de segurança cibernética está rastreando o ator da ameaça sob o apelido de Earth Simnavaz, também conhecido como APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) e Helix Kitten.
As cadeias de ataque incluem o envio de conteúdo anteriormente sem papel que vem com a capacidade de extrair informações através de servidores Microsoft Exchange locais, uma tática experimentada e testada adotada pelo adversário no passado, ao mesmo tempo que inclui uma vulnerabilidade recentemente divulgada na sua exploração. o arsenal.
CVE-2024-30088, corrigido pela Microsoft em junho de 2024, trata de um caso de escalada de privilégios no kernel do Windows que pode ser explorado para obter privilégios de SYSTEM, presumindo que os invasores possam vencer a corrida.
O acesso inicial às redes de destino é facilitado pelo login no servidor web vulnerável para iniciar um web shell, seguido pelo lançamento da ferramenta de gerenciamento remoto ngrok para manter a persistência e mover-se para outros locais na rede.
A crescente vulnerabilidade de privilégios funciona como um canal para fornecer um backdoor, codinome STEALHOOK, que é responsável por transmitir dados coletados através do servidor Exchange para um endereço de e-mail controlado pelo invasor na forma de anexos.
Uma técnica notável usada pela OilRig em um conjunto recente de ataques envolveu o abuso de privilégios elevados para despejar a DLL de política de filtro de senha (psgfilter.dll) para extrair credenciais confidenciais de usuários de domínio usando controladores de domínio ou contas locais em máquinas locais.
“O ator mal-intencionado teve muito cuidado ao trabalhar com senhas durante a execução de operações de exportação de filtros de senha”, disseram os pesquisadores. “O ator da ameaça também usou senhas criptografadas para acessar e descriptografar dispositivos remotos. As senhas em texto simples foram criptografadas primeiro antes de serem descriptografadas quando enviadas pelas redes.”
É importante notar que o uso de psgfilter.dll foi notado em dezembro de 2022 em conexão com uma campanha direcionada a organizações no Oriente Médio usando outro backdoor chamado MrPerfectionManager.
“Seu trabalho recente sugere que o Earth Simnavaz está focado na exploração da vulnerabilidade e da infraestrutura crítica de regiões geopoliticamente sensíveis”, observaram os pesquisadores. “Eles também querem estabelecer uma base permanente em empresas vulneráveis, para que possam estar equipadas para lançar ataques a outros alvos”.
