O grupo iraniano de hackers patrocinado pelo estado, APT34, também conhecido como OilRig, recentemente intensificou suas atividades com novas campanhas visando entidades governamentais e infraestruturas críticas nos Emirados Árabes Unidos e na região do Golfo.
Nesses ataques, identificados pelos pesquisadores da Trend Micro, o OilRig implantou uma backdoor inovadora, visando servidores Microsoft Exchange para roubar credenciais, e também explorou a falha Windows
CVE-2024-30088
para elevar seus privilégios em dispositivos comprometidos.
Além da atividade, a Trend Micro também estabeleceu uma conexão entre o OilRig e o FOX Kitten, outro grupo APT baseado no Irã envolvido em ataques de ransomware.
Os ataques observados pela Trend Micro começam com a exploração de um servidor web vulnerável para carregar um web shell, dando aos atacantes a capacidade de executar código remoto e comandos PowerShell.
Uma vez que o web shell está ativo, o OilRig o utiliza para implantar ferramentas adicionais, incluindo um componente projetado para explorar a falha Windows
CVE-2024-30088
.
CVE-2024-30088
é uma vulnerabilidade de escalonamento de privilégio de alta gravidade que a Microsoft corrigiu em junho de 2024, permitindo aos atacantes elevar seus privilégios ao nível SYSTEM, concedendo-lhes controle significativo sobre os dispositivos comprometidos.
A Microsoft reconheceu a existência de um exploit de prova de conceito para
CVE-2024-30088
, mas ainda não marcou a falha como ativamente explorada em seu portal de segurança.
A CISA também não relatou a exploração anterior dessa vulnerabilidade em seu catálogo de Vulnerabilidades Exploradas Conhecidas.
Em seguida, o OilRig registra uma DLL de filtro de senha para interceptar credenciais em texto claro durante eventos de mudança de senha e, depois, baixa e instala a ferramenta de monitoramento remoto e gerenciamento 'ngrok', usada para comunicações furtivas através de túneis seguros.
Outra nova tática dos atores de ameaças é a exploração de servidores Microsoft Exchange locais para roubar credenciais e exfiltrar dados sensíveis via tráfego de e-mail legítimo, o que é difícil de detectar.
A exfiltração é facilitada por uma nova backdoor chamada 'StealHook', enquanto a Trend Micro diz que a infraestrutura governamental é frequentemente usada como ponto de pivô para fazer o processo parecer legítimo.
"O objetivo principal desta etapa é capturar as senhas roubadas e transmiti-las aos atacantes como anexos de e-mail," explica a Trend Micro no relatório.
Adicionalmente, observamos que os atores de ameaças usam contas legítimas com senhas roubadas para encaminhar esses e-mails através de servidores Exchange governamentais.
A TrendMicro diz que há similaridades de código entre StealHook e backdoors que o OilRig usou em campanhas passadas, como Karkoff, então o malware mais recente parece ser um passo evolutivo em vez de uma criação totalmente nova.
Além disso, esta não é a primeira vez que o OilRig usou servidores Microsoft Exchange como um componente ativo de seus ataques.
Há quase um ano, a Symantec reportou que o APT34 instalou um backdoor PowerShell denominado 'PowerExchange' em servidores Exchange locais capazes de receber e executar comandos via e-mail.
O ator de ameaça permanece altamente ativo na região do Oriente Médio, e sua afiliação com o FOX Kitten, embora não clara neste momento, é preocupante pelo potencial de adicionar ransomware ao seu arsenal de ataques.
Uma vez que a maioria das entidades alvo está no setor de energia, segundo a Trend Micro, interrupções operacionais nessas organizações poderiam impactar severamente muitas pessoas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...