سواستفاده هکرهای ایرانی OilRig از روز صفر کرنل ویندوز برای حمله به سازمانها
اخبار داغ فناوری اطلاعات و امنیت شبکه
گروه هکر ملی-دولتی ایرانی OilRig که با نام APT34 نیز شناخته میشود، فعالیتهای جاسوسی سایبری خود را تشدید کرده و زیرساختهای حیاتی و نهادهای دولتی را در امارات متحده عربی و منطقه وسیعتری از خلیجفارس هدف قرار داده است.
محققان امنیتی Picus Labs یک کمپین پیچیده جدید را کشف کرده و ادعا نمودند که از یک آسیبپذیری ناشناخته ویندوز کرنل برای افزایش اختیارات و استقرار بدافزارهای پیشرفته استفاده میکند.
آسیبپذیری CVE-2024-30088: یک سلاح جدید در لیست تسلیحات سایبری OilRig
در قلب آخرین حملات OilRig، بهرهبرداری از CVE-2024-30088، که یک آسیبپذیری افزایش اختیار با شدت بالا است که بر هسته ویندوز تاثیر میگذارد. این نقص به مهاجمان اجازه میدهد تا اختیارات خود را به سطح SYSTEM برسانند و به آنها کنترل گستردهای بر روی دستگاههای در معرض خطر میدهند.
مایکروسافت این آسیبپذیری را در ژوئن 2024 اصلاح کرد، اما طبق مشاهدات، OilRig به طور فعال از آن در عرصه سایبری استفاده میکند.
زنجیره حمله با به خطر انداختن وب سرورهای آسیبپذیر آغاز میشود؛ جایی که OilRig یک web shell را برای ایجاد دسترسی اولیه آپلود میکند. از این پایگاه، گروه ابزارهای اضافی، ازجمله کامپوننتی را که برای بهرهبرداری از CVE-2024-30088 طراحی شده است، بهکار میگیرد.
پس از بهدست آوردن اختیارات بالا، OilRig یک backdoor پیچیده را نصب میکند که سرورهای Microsoft Exchange مستقر را هدف قرار میدهد.
این backdoor که با نام STEALHOOK شناخته میشود، مهاجمان را قادر میسازد تا طیف وسیعی از فعالیتهای مخرب را، ازجمله حرکت جانبی در شبکهها و استخراج فایلهای حساس و اعتبار، انجام دهند.
توانایی OilRig در بهره گیری سریع از آسیبپذیریهای جدید افشا شده، قابلیتهای پیشرفته این گروه و تهدید مداوم آنها را برای سازمانهای هدف نشان میدهد.
علاوه بر بهرهبرداری از CVE-2024-30088، گروه OilRig همچنان به استفاده از تاکتیکهای پیشرفته دیگر ادامه میدهد. بر اساس مشاهدات، این گروه از DLLهای خط مشی فیلتر رمز عبور حذف شده برای استخراج رمزهای عبور متن ساده سواستفاده نموده و از ابزار نظارت از راه دور Ngrok برای تونلینگ ترافیک و حفظ پایداری از طریق ابزارهای مختلف استفاده میکند.
کارشناسان امنیتی هشدار میدهند که تمرکز OilRig بر زیرساختهای حیاتی، بهویژه در بخش انرژی، در صورت موفقیت میتواند پیامدهای شدیدی داشته باشد.
تاکتیکهای در حال تحول گروه و استفاده از آسیبپذیریهای روز صفر بر نیاز سازمانها به حفظ فرآیندهای مدیریت پچ قوی و پیادهسازی دفاعهای امنیتی چندلایه تاکید میکند.
از آنجایی که کمپینهای OilRig همچنان در حال تکامل هستند، به تیمهای امنیت سایبری توصیه میشود که هوشیار بوده و رفع آسیبپذیریهای حیاتی، بهویژه آسیبپذیریهای شناخته شده در فضای سایبری را در اولویت قرار دهند.
سازمانها در بخشهای هدف نیز باید نظارت بیشتری را برای بررسی نشانههای نفوذ اجرا کنند و ابزارهای پیشرفته تشخیص تهدید را برای شناسایی و کاهش خطرات حملات پیچیده در نظر بگیرند.
کشف بهرهبرداری OilRig از CVE-2024-30088 یادآور ماهیت مداوم و در حال تحول تهدیدات سایبری تحت حمایت دولتها است.
همانطور که این گروهها تاکتیکهای خود را اصلاح و بهروز میکنند و تواناییهای خود را گسترش میدهند، جامعه جهانی امنیت سایبری باید در توسعه و اجرای استراتژیهای دفاعی قوی برای محافظت از داراییهای حیاتی و اطلاعات حساس در برابر حملات پیچیدهتر فعال و هوشیار باشد.
شاخصهای شناسایی بروز خطر و نفوذ:
• هش فایل
• QUADGENT
d7130e42663e95d23c547d57e55099c239fa249ce3f6537b7f2a8033f3aa73de
• OilRig ThreeDollars
1f6369b42a76d02f32558912b57ede4f5ff0a90b18d3b96a4fe24120fa2c300c
• mscom.exe
0ca0febadb1024b0a8961f21edbf3f6df731ca4dd82702de3793e757687aefbc
• People List.xls
9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777
• Dell.exe
5db93f1e882f4d7d6a9669f8b1ab091c0545e12a317ba94c1535eb86bc17bd5b
برچسب ها: QUADGENT, StealHook, CVE-2024-30088, Cyberspy, Ngrok, OilRig, کرنل, kernel, تونلینگ, Iran, Tunneling, روز صفر, Microsoft Exchange, cybersecurity, ایران, آسیبپذیری, windows, Vulnerability, ویندوز, APT34, جاسوسی سایبری, backdoor, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news