Er is waargenomen dat de Iraanse dreigingsacteur, bekend als OilRig, misbruik maakt van een inmiddels herstelde escalatiefout in privileges die gevolgen heeft voor de Windows-kernel als onderdeel van een cyberspionagecampagne gericht op de VAE en de bredere Golfregio.
“De groep maakt gebruik van geavanceerde tactieken, waaronder het inzetten van een achterdeur die Microsoft Exchange-servers gebruikt voor diefstal van inloggegevens, en het misbruiken van kwetsbaarheden zoals CVE-2024-30088 voor escalatie van privileges”, aldus Trend Micro-onderzoekers Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal en Nick Dai. in een analyse die vrijdag werd gepubliceerd.
Het cyberbeveiligingsbedrijf volgt de dreigingsactor onder de naam Earth Simnavaz, ook wel APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (voorheen EUROPIUM) en Helix Kitten genoemd.
De aanvalsketens omvatten de inzet van een voorheen ongedocumenteerd implantaat dat wordt geleverd met mogelijkheden om inloggegevens te exfiltreren via lokale Microsoft Exchange-servers, een beproefde tactiek die in het verleden door de tegenstander is overgenomen, terwijl ook recentelijk onthulde kwetsbaarheden voor zijn misbruik zijn ingebouwd. arsenaal.
CVE-2024-30088, gepatcht door Microsoft in juni 2024, betreft een geval van escalatie van privileges in de Windows-kernel die kan worden misbruikt om SYSTEEMprivileges te verkrijgen, ervan uitgaande dat de aanvallers een race condition kunnen winnen.
De initiële toegang tot doelnetwerken wordt vergemakkelijkt door middel van het infiltreren van een kwetsbare webserver om een webshell te verwijderen, gevolgd door het verwijderen van de ngrok-tool voor extern beheer om de persistentie te behouden en naar andere eindpunten in het netwerk te gaan.
De kwetsbaarheid voor escalatie van bevoegdheden dient vervolgens als kanaal om de achterdeur, met de codenaam STEALHOOK, te bezorgen, die verantwoordelijk is voor het verzenden van verzamelde gegevens via de Exchange-server naar een e-mailadres dat door de aanvaller wordt beheerd in de vorm van bijlagen.
Een opmerkelijke techniek die OilRig bij de laatste reeks aanvallen gebruikt, betreft het misbruik van de verhoogde rechten om de wachtwoordfilterbeleid-DLL (psgfilter.dll) te verwijderen om gevoelige inloggegevens van domeingebruikers te extraheren via domeincontrollers of lokale accounts op lokale machines.
“De kwaadwillende actor heeft grote zorg besteed aan het werken met de leesbare wachtwoorden tijdens het implementeren van de exportfuncties voor wachtwoordfilters”, aldus de onderzoekers. “De bedreigingsacteur gebruikte ook leesbare wachtwoorden om toegang te krijgen en tools op afstand in te zetten. De leesbare wachtwoorden werden eerst gecodeerd voordat ze werden geëxfiltreerd wanneer ze via netwerken werden verzonden.”
Het is vermeldenswaard dat het gebruik van psgfilter.dll in december 2022 werd waargenomen in verband met een campagne gericht op organisaties in het Midden-Oosten met behulp van een andere achterdeur genaamd MrPerfectionManager.
“Hun recente activiteit suggereert dat Earth Simnavaz zich richt op het misbruiken van kwetsbaarheden in belangrijke infrastructuur van geopolitiek gevoelige regio’s”, merkten de onderzoekers op. “Ze proberen ook vaste voet aan de grond te krijgen in gecompromitteerde entiteiten, zodat deze kunnen worden bewapend om aanvallen op extra doelen uit te voeren.”
