伊朗黑客组织APT34,又名OilRig,最近开展了新行动,针对阿拉伯联合酋长国和海湾地区的政府和关键基础设施实体。
Trend Micro研究人员发现,OilRig部署了一种新的后门程序,以微软Exchange服务器为目标窃取凭据,利用Windows CVE-2024-30088 漏洞来提升他们在受感染设备上的权限。
除了这些活动之外,研究人员还发现了OilRig和FOX Kitten之间的联系,FOX Kitten是另一个涉及勒索软件攻击的伊朗APT组织。
CVE-2024-30088是Microsoft于2024年6月修复的高严重性权限提升漏洞。微软确认存在CVE-2024-30088的概念验证漏洞,但其安全门户、CISA没有标记正在被利用。
研究人员称,攻击始于利用易受攻击的Web服务器上传Web shell,使攻击者能够执行远程代码和PowerShell命令。
一旦Web Shell处于活动状态,OilRig就会利用它来部署其他工具,其中包括Windows漏洞CVE-2024-30088的组件。
接下来,OilRig注册密码过滤器DLL,在密码更改期间拦截明文凭据,然后下载并安装远程监控和管理工具“ngrok”,通过安全隧道进行隐蔽通信。
黑客的另一策略是利用本地微软Exchange服务器,通过难以检测的合法电子邮件流量窃取凭据并泄露敏感数据。
从Exchange窃取密码的后门程序
来源:Trend Micro
Trend Micro指出,“StealHook”新后门程序被用来帮助数据泄露。攻击者经常利用政府的基础设施作为跳板,以掩盖其非法行为。
“这个阶段的主要目标是捕获被盗的密码并将其作为电子邮件附件传输给攻击者。”Trend Micro 在报告中解释说。
“此外,黑客利用带有被盗密码的合法帐户通过政府 Exchange Server发送这些电子邮件。”
OilRig的最新攻击链
来源:Trend Micro
TrendMicro表示,StealHook与OilRig过去活动中使用的后门(如 Karkoff)之间存在代码相似之处,看起来更像是恶意软件的升级版,而不是一个全新的恶意软件。
据悉,这不是OilRig第一次利用微软Exchange服务器。此前,APT34在本地Exchange服务器上安装名为“PowerExchange”的PowerShell后门,能够通过电子邮件接收和执行命令。
该黑客在中东地区仍然非常活跃,其与FOX Kitten的隶属关系虽然目前尚不清楚,但令人担忧这个威胁行为者可能会开始使用勒索软件作为其攻击手段的一部分。
根据Trend Micro的说法,由于大多数目标实体都集中能源行业,这些组织的运营中断可能会影响许多人。
泄露10TB数据!俄网安巨头Dr.Web遭亲乌黑客攻击
2024.10.11
CISA警告:F5 BIG-IP未加密Cookie漏洞
2024.10.14
“互联网档案馆”被连续攻击,3100万用户数据泄露
2024.10.12
注:本文由E安全编译报道,转载请联系授权并注明来源。