Hackers exploram brecha no Windows
14 de Outubro de 2024

O grupo iraniano de hackers patrocinado pelo estado, APT34, também conhecido como OilRig, recentemente intensificou suas atividades com novas campanhas visando entidades governamentais e infraestruturas críticas nos Emirados Árabes Unidos e na região do Golfo.

Nesses ataques, identificados pelos pesquisadores da Trend Micro, o OilRig implantou uma backdoor inovadora, visando servidores Microsoft Exchange para roubar credenciais, e também explorou a falha Windows CVE-2024-30088 para elevar seus privilégios em dispositivos comprometidos.

Além da atividade, a Trend Micro também estabeleceu uma conexão entre o OilRig e o FOX Kitten, outro grupo APT baseado no Irã envolvido em ataques de ransomware.

Os ataques observados pela Trend Micro começam com a exploração de um servidor web vulnerável para carregar um web shell, dando aos atacantes a capacidade de executar código remoto e comandos PowerShell.

Uma vez que o web shell está ativo, o OilRig o utiliza para implantar ferramentas adicionais, incluindo um componente projetado para explorar a falha Windows CVE-2024-30088 .

CVE-2024-30088 é uma vulnerabilidade de escalonamento de privilégio de alta gravidade que a Microsoft corrigiu em junho de 2024, permitindo aos atacantes elevar seus privilégios ao nível SYSTEM, concedendo-lhes controle significativo sobre os dispositivos comprometidos.

A Microsoft reconheceu a existência de um exploit de prova de conceito para CVE-2024-30088 , mas ainda não marcou a falha como ativamente explorada em seu portal de segurança.

A CISA também não relatou a exploração anterior dessa vulnerabilidade em seu catálogo de Vulnerabilidades Exploradas Conhecidas.

Em seguida, o OilRig registra uma DLL de filtro de senha para interceptar credenciais em texto claro durante eventos de mudança de senha e, depois, baixa e instala a ferramenta de monitoramento remoto e gerenciamento 'ngrok', usada para comunicações furtivas através de túneis seguros.

Outra nova tática dos atores de ameaças é a exploração de servidores Microsoft Exchange locais para roubar credenciais e exfiltrar dados sensíveis via tráfego de e-mail legítimo, o que é difícil de detectar.

A exfiltração é facilitada por uma nova backdoor chamada 'StealHook', enquanto a Trend Micro diz que a infraestrutura governamental é frequentemente usada como ponto de pivô para fazer o processo parecer legítimo.

"O objetivo principal desta etapa é capturar as senhas roubadas e transmiti-las aos atacantes como anexos de e-mail," explica a Trend Micro no relatório.

Adicionalmente, observamos que os atores de ameaças usam contas legítimas com senhas roubadas para encaminhar esses e-mails através de servidores Exchange governamentais.

A TrendMicro diz que há similaridades de código entre StealHook e backdoors que o OilRig usou em campanhas passadas, como Karkoff, então o malware mais recente parece ser um passo evolutivo em vez de uma criação totalmente nova.

Além disso, esta não é a primeira vez que o OilRig usou servidores Microsoft Exchange como um componente ativo de seus ataques.

Há quase um ano, a Symantec reportou que o APT34 instalou um backdoor PowerShell denominado 'PowerExchange' em servidores Exchange locais capazes de receber e executar comandos via e-mail.

O ator de ameaça permanece altamente ativo na região do Oriente Médio, e sua afiliação com o FOX Kitten, embora não clara neste momento, é preocupante pelo potencial de adicionar ransomware ao seu arsenal de ataques.

Uma vez que a maioria das entidades alvo está no setor de energia, segundo a Trend Micro, interrupções operacionais nessas organizações poderiam impactar severamente muitas pessoas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...