O ator de ameaça iraniano conhecido como OilRig foi observado explorando uma falha de escalonamento de privilégios agora corrigida que afeta o kernel do Home windows como parte de uma campanha de espionagem cibernética visando os Emirados Árabes Unidos e a região mais ampla do Golfo.
“O grupo utiliza táticas sofisticadas que incluem a implantação de um backdoor que aproveita os servidores Microsoft Trade para roubo de credenciais e a exploração de vulnerabilidades como CVE-2024-30088 para escalonamento de privilégios”, disseram os pesquisadores da Development Micro, Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal e Nick Dai. em análise publicada na sexta-feira.
A empresa de segurança cibernética está rastreando o ator da ameaça sob o apelido de Earth Simnavaz, também conhecido como APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) e Helix Kitten.
As cadeias de ataque envolvem a implantação de um implante anteriormente não documentado que vem com recursos para exfiltrar credenciais através de servidores Microsoft Trade locais, uma tática experimentada e testada adotada pelo adversário no passado, ao mesmo tempo que incorpora vulnerabilidades recentemente divulgadas à sua exploração. arsenal.
CVE-2024-30088, corrigido pela Microsoft em junho de 2024, diz respeito a um caso de escalonamento de privilégios no kernel do Home windows que poderia ser explorado para obter privilégios de SYSTEM, assumindo que os invasores pudessem vencer uma condição de corrida.
O acesso inicial às redes de destino é facilitado por meio da infiltração em um servidor net vulnerável para eliminar um net shell, seguido pela eliminação da ferramenta de gerenciamento remoto ngrok para manter a persistência e mover-se para outros terminais na rede.
A vulnerabilidade de escalonamento de privilégios serve posteriormente como um canal para entregar o backdoor, codinome STEALHOOK, responsável pela transmissão de dados coletados através do servidor Trade para um endereço de e-mail controlado pelo invasor na forma de anexos.
Uma técnica notável empregada pela OilRig no último conjunto de ataques envolve o abuso de privilégios elevados para descartar a DLL de política de filtro de senha (psgfilter.dll) para extrair credenciais confidenciais de usuários de domínio por meio de controladores de domínio ou contas locais em máquinas locais.
“O agente malicioso teve muito cuidado ao trabalhar com as senhas em texto simples ao implementar as funções de exportação do filtro de senha”, disseram os pesquisadores. “O agente da ameaça também utilizou senhas em texto simples para obter acesso e implantar ferramentas remotamente. As senhas em texto simples foram primeiro criptografadas antes de serem exfiltradas quando enviadas pelas redes.”
É importante notar que o uso de psgfilter.dll foi observado em dezembro de 2022 em uma conexão com uma campanha direcionada a organizações no Oriente Médio usando outro backdoor denominado MrPerfectionManager.
“Sua atividade recente sugere que o Earth Simnavaz está focado em abusar de vulnerabilidades em infraestruturas-chave de regiões geopoliticamente sensíveis”, observaram os pesquisadores. “Eles também procuram estabelecer uma posição persistente em entidades comprometidas, para que estas possam ser transformadas em armas para lançar ataques contra alvos adicionais”.
