伊朗國家支持的黑客組織 APT34（又名 OilRig）最近升級了其活動，針對阿拉伯聯(lián)合酋長國和海灣地區(qū)的政府和關(guān)鍵基礎(chǔ)設(shè)施實體發(fā)起了新的攻擊。

在趨勢科技研究人員發(fā)現(xiàn)的這些攻擊中，OilRig 部署了一個新的后門，以微軟 Exchange 服務(wù)器為目標竊取憑證，還利用 Windows CVE-2024-30088 漏洞提升了他們在受攻擊設(shè)備上的權(quán)限。

除了這些活動，趨勢科技還發(fā)現(xiàn) OilRig 與另一個參與勒索軟件攻擊的伊朗 APT 組織 FOX Kitten 之間存在聯(lián)系。

最新的 OilRig 攻擊鏈

趨勢科技表示，這種攻擊首先會利用有漏洞的 Web 服務(wù)器上傳 Web shell，使攻擊者能夠執(zhí)行遠程代碼和 PowerShell 命令。

一旦 Web shell 處于活動狀態(tài)，OilRig 就會利用它部署其他工具，包括一個旨在利用 Windows CVE-2024-30088 漏洞的組件。

CVE-2024-30088 是微軟在 2024 年 6 月修復(fù)的一個高嚴重性權(quán)限升級漏洞，它使攻擊者能夠?qū)?quán)限升級到 SYSTEM 級別，從而對被入侵設(shè)備擁有重大控制權(quán)。

微軟已承認存在 CVE-2024-30088 的概念驗證漏洞，但尚未在其安全門戶網(wǎng)站上將該漏洞標記為主動漏洞。CISA 也沒有在 ts Known Exploited Vulnerability 目錄中報告該漏洞曾被利用。

隨后，OilRig 注冊了一個密碼過濾 DLL，以在密碼更改事件中攔截明文憑證，然后下載并安裝遠程監(jiān)控和管理工具 “ngrok”，用于通過安全隧道進行隱蔽通信。

威脅行為者的另一種新策略是利用內(nèi)部 Microsoft Exchange 服務(wù)器，通過難以察覺的合法電子郵件流量竊取憑證和外流敏感數(shù)據(jù)。

從 Exchange 竊取密碼的后門，來源：趨勢科技

名為 “StealHook ”的新型后門為密碼外泄提供了便利，而趨勢科技稱，政府基礎(chǔ)設(shè)施通常被用作支點，使這一過程看起來合法。

對此，趨勢科技在報告中解釋稱這一階段的關(guān)鍵目標是捕獲竊取的密碼，并將其作為電子郵件附件傳輸給攻擊者。

此外，我們還觀察到，威脅行為者利用帶有被盜密碼的合法賬戶，通過政府 Exchange 服務(wù)器路由這些電子郵件"。

石油鉆機的最新攻擊鏈，來源：趨勢科技

趨勢科技稱，StealHook與OilRig在過去的活動中使用的后門（如Karkoff）之間存在代碼相似性，因此最新的惡意軟件似乎是一種進化，而不是從頭開始的新創(chuàng)造。

這也并非 OilRig 首次使用微軟 Exchange 服務(wù)器作為其攻擊的活動組件。將近一年前，賽門鐵克曾報告稱，APT34 在內(nèi)部部署的 Exchange 服務(wù)器上安裝了一個名為 “PowerExchange ”的 PowerShell 后門，能夠通過電子郵件接收和執(zhí)行命令。

該威脅行為體在中東地區(qū)仍然非?；钴S，它與 FOX Kitten 的關(guān)系目前還不清楚，但令人擔(dān)憂的是，它有可能將勒索軟件添加到其攻擊武器庫中。

據(jù)趨勢科技稱，由于大多數(shù)目標實體都在能源領(lǐng)域，因此這些組織一旦運營中斷那么將影響十分廣泛。