VietNetwork.Vn

Một tác nhân đe dọa từ Iran có tên OilRig đã bị phát hiện đang khai thác một lỗ hổng leo thang đặc quyền hiện đã được vá, ảnh hưởng đến Windows Kernel như một phần của chiến dịch gián điệp mạng nhắm vào UAE và khu vực vùng Vịnh rộng lớn hơn.

Các nhà nghiên cứu Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal và Nick Dai của Trend Micro cho biết trong một bài phân tích được công bố vào thứ sáu: "Nhóm này sử dụng các chiến thuật tinh vi bao gồm triển khai một cửa hậu lợi dụng máy chủ Microsoft Exchange để đánh cắp thông tin đăng nhập và khai thác các lỗ hổng như CVE-2024-30088 để leo thang đặc quyền".


Công ty an ninh mạng đang theo dõi tác nhân đe dọa dưới biệt danh Earth Simnavaz, còn được gọi là APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (trước đây là EUROPIUM) và Helix Kitten.

Chuỗi tấn công bao gồm việc triển khai một phần mềm cấy ghép chưa từng được ghi chép trước đây, có khả năng đánh cắp thông tin đăng nhập thông qua các máy chủ Microsoft Exchange tại chỗ, một chiến thuật đã được kẻ tấn công áp dụng trong quá khứ, đồng thời kết hợp các lỗ hổng mới được tiết lộ gần đây vào kho vũ khí khai thác của chúng.

CVE-2024-30088, được Microsoft vá vào tháng 6 năm 2024, liên quan đến trường hợp leo thang đặc quyền trong nhân Windows có thể bị khai thác để giành được đặc quyền HỆ THỐNG, giả sử kẻ tấn công có thể giành chiến thắng trong tình huống chạy đua.

Truy cập ban đầu vào mạng mục tiêu được thực hiện bằng cách xâm nhập vào máy chủ web dễ bị tấn công để thả một web shell, sau đó thả công cụ quản lý từ xa ngrok để duy trì tính bền bỉ và di chuyển đến các điểm cuối khác trong mạng.

Lỗ hổng leo thang đặc quyền sau đó đóng vai trò là đường dẫn để đưa cửa hậu có tên mã là STEALHOOK vào, chịu trách nhiệm truyền dữ liệu thu thập được qua máy chủ Exchange đến địa chỉ email do kẻ tấn công kiểm soát dưới dạng tệp đính kèm.

Một kỹ thuật đáng chú ý được OilRig sử dụng trong loạt tấn công mới nhất liên quan đến việc lạm dụng các đặc quyền nâng cao để xóa DLL chính sách lọc mật khẩu (psgfilter.dll) nhằm trích xuất thông tin đăng nhập nhạy cảm từ người dùng miền thông qua bộ điều khiển miền hoặc tài khoản cục bộ trên máy cục bộ.

"Kẻ tấn công độc hại đã rất cẩn thận khi làm việc với mật khẩu dạng văn bản thuần túy trong khi triển khai các chức năng xuất bộ lọc mật khẩu", các nhà nghiên cứu cho biết. "Kẻ tấn công cũng sử dụng mật khẩu dạng văn bản thuần túy để truy cập và triển khai các công cụ từ xa. Đầu tiên, mật khẩu dạng văn bản thuần túy được mã hóa trước khi bị rò rỉ khi được gửi qua mạng".

Điều đáng chú ý là việc sử dụng psgfilter.dll đã được phát hiện vào tháng 12 năm 2022 liên quan đến một chiến dịch nhắm vào các tổ chức ở Trung Đông bằng cách sử dụng một cửa hậu khác có tên là MrPerfectionManager.

"Hoạt động gần đây của họ cho thấy Earth Simnavaz tập trung vào việc lợi dụng các lỗ hổng trong cơ sở hạ tầng quan trọng của các khu vực nhạy cảm về mặt địa chính trị", các nhà nghiên cứu lưu ý. "Họ cũng tìm cách thiết lập chỗ đứng cố định trong các thực thể bị xâm phạm, để có thể biến chúng thành vũ khí tấn công vào các mục tiêu khác".