İran devlet destekli hack grubu APT34, yani Oilrig, yakın zamanda birleşik Arap Emirlikleri ve Körfez Bölgesi'ndeki hükümeti ve kritik altyapı kuruluşlarını hedefleyen yeni kampanyalarla faaliyetlerini artırdı.
Trend mikro araştırmacılar tarafından tespit edilen bu saldırılarda Oilrig, kimlik bilgilerini çalmak için Microsoft Exchange sunucularını hedefleyen yeni bir arka kapı kullandı ve ayrıca tehlike altındaki cihazlardaki ayrıcalıklarını yükseltmek için Windows CVE-2024-30088 kusurunu kullandı.
Etkinliğin yanı sıra, trend Micro, fidye yazılımı saldırılarında yer alan İran merkezli başka bir APT grubu olan Oilrig ve Fox Kitten arasında bir bağlantı kurdu.
Trend Micro tarafından görülen saldırılar, bir web kabuğu yüklemek için savunmasız bir web sunucusunun kullanımı ile başlar ve saldırganlara uzaktan kod ve PowerShell komutlarını yürütme yeteneği verir.
Web kabuğu etkin olduğunda, Oilrig, Windows CVE-2024-30088 kusurundan yararlanmak için tasarlanmış bir bileşen de dahil olmak üzere ek araçlar dağıtmak için kullanır.
CVE-2024-30088, Haziran 2024'te sabitlenen yüksek şiddetli bir ayrıcalık artış kırılganlığı güvenlik açığıdır ve saldırganların ayrıcalıklarını sistem seviyesine yükseltmelerini sağlar ve bu da tehlikeye atılan cihazlar üzerinde önemli kontrol sağlar.
Microsoft, CVE-2024-30088 için bir kavram kanıtı istismarını kabul etti, ancak kusuru güvenlik portalında aktif olarak sömürülen şekilde işaretlemedi. CISA ayrıca daha önce TS bilinen Sökülen Güvenlik Açığı kataloğunda daha önce kullanıldığı gibi bildirmedi.
Ardından, Oilrig, şifre değiştirme olayları sırasında düz metin kimlik bilgilerini kesmek için bir şifre filtresi DLL'yi kaydeder ve ardından güvenli tüneller aracılığıyla gizli iletişim için kullanılan uzaktan izleme ve yönetim aracını 'ngrok'u indirir ve yükler.
Tehdit oyuncusu tarafından başka bir yeni taktik, kimlik bilgilerini çalmak ve tespit edilmesi zor olan meşru e-posta trafiği aracılığıyla hassas verileri yaymak için şirket içi Microsoft Exchange sunucularının kullanılmasıdır.
Defiltrasyon, 'Stealhook' adlı yeni bir arka kapı ile kolaylaştırılırken, trend Micro, hükümet altyapısının sürecin meşru görünmesi için genellikle bir pivot noktası olarak kullanıldığını söylüyor.
Raporda Trend Micro, "Bu aşamanın temel amacı çalınan şifreleri yakalamak ve bunları e -posta ekleri olarak saldırganlara iletmektir."
"Ayrıca, tehdit aktörlerinin bu e -postaları hükümet değişim sunucuları aracılığıyla yönlendirmek için çalıntı şifrelerle meşru hesaplardan yararlandığını gözlemledik."
TrendMicro, Stealhook ve Backroors Oilrig arasında Karkoff gibi geçmiş kampanyalarda kullanılan kod benzerlikleri olduğunu söylüyor, bu nedenle en son kötü amaçlı yazılımlar sıfırdan yeni bir yaratımdan ziyade evrimsel bir adım gibi görünüyor.
Ayrıca, bu, Oilrig, Microsoft Exchange sunucularını saldırılarının etkin bir bileşeni olarak ilk kez kullanmadı. Neredeyse bir yıl önce Symantec, APT34'ün, e-posta yoluyla komut alabilen ve yürütebilen şirket içi değişim sunucularına 'PowerExchange' olarak adlandırılan bir PowerShell arka kapı yüklediğini bildirdi.
Tehdit oyuncusu Orta Doğu bölgesinde oldukça aktif kalıyor ve şu anda belirsiz olan Fox Kitten ile olan ilişkisi, saldırı cephaneliğine fidye yazılımı ekleme potansiyeli için endişeleniyor.
Hedeflenen varlıkların çoğu enerji sektöründe olduğundan, trend mikrosuna göre, bu kuruluşlardaki operasyonel aksamalar birçok insanı ciddi şekilde etkileyebilir.
Cisa, kritik Fortinet RCE kusurunun şimdi saldırılarda sömürüldüğünü söylüyor
Mozilla, Firefox'u Saldırılarda Aktif Olarak Sömürülen Zero-Day'i düzeltir
Ivanti, saldırılarda sömürülen üç CSA sıfır gününü daha uyarıyor
Qualcomm Yamaları Saldırılarda Yüksek Şeyişlilik Sıfır Gün Sömürüldü
4.000'den fazla Adobe Ticareti, Magento Mağazaları Cosmicsting saldırılarında hacklendi
Kaynak: Bleeping Computer