据报道,名为OilRig 的伊朗威胁行为体在针对阿联酋甚至更广泛海湾地区的网络间谍活动中,利用了Windows 的内核缺陷。
趋势科技研究人员 Mohamed Fahmy、Bahaa Yamany、Ahmed Kamal 和 Nick Dai 在周五发布的一份分析报告中指出:“该组织采用了复杂的策略,包括部署后门,利用微软 Exchange 服务器窃取凭证,以及利用 CVE-2024-30088 等漏洞进行权限升级。”
该网络安全公司正在追踪这个名为 Earth Simnavaz 的威胁行为者,它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm(前身为 EUROPIUM)和 Helix Kitten。
该攻击链需要部署一种从未有过记录的植入程序,它具有通过本地微软 Exchange服务器泄露凭据的功能,这是对手过去采用的一种屡试不爽的战术,同时还将最近披露的漏洞纳入其漏洞库。
微软于 2024 年 6 月修补了 CVE-2024-30088,该漏洞涉及 Windows 内核中的权限升级问题,假定攻击者能够赢得竞赛条件,则可利用该漏洞获得 SYSTEM 权限。
最初进入目标网络的方式是通过渗透一个易受攻击的网络服务器,先丢弃一个网络外壳,而后丢弃ngrok远程管理工具,以保持持久性并转移到网络中的其他端点。
这个权限升级漏洞随后被用作传递代号为 “STEALHOOK ”的后门通道,该后门负责通过Exchange服务器以附件的形式,将收集的数据传输到攻击者控制的电子邮件地址。
OilRig 在最新一组攻击中使用了一种值得注意的技术,即利用提升的权限来丢弃密码的过滤策略 DLL (psgfilter.dll),以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。
研究人员表示:“恶意行为者在实施密码过滤器导出功能时,非常小心地处理明文密码。”威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密,然后才被外泄。
值得注意的是,早在 2022 年 12 月就有人发现 psgfilter.dll 的使用,与针对中东地区组织的活动中一个名为 MrPerfectionManager 的后门有关。
研究人员指出,他们最近的活动表明:“地球Simnavaz专注于政治敏感地区关键基础设施的脆弱性。他们还寻求在被入侵的实体中建立持久的立足点,这样这些实体就可以被武器化,对其他目标发动攻击。”
(转载请注明出处@安全威胁纵横,本文来源:https://thehackernews.com/2024/10/oilrig-exploits-windows-kernel-flaw-in.html)
原文始发于微信公众号(安全威胁纵横):OilRig 利用 Windows 内核漏洞开展针对阿联酋和海湾地区的间谍活动
