Il gruppo di hacker iraniano sponsorizzato dallo stato APT34, noto anche come OilRig, ha recentemente intensificato le sue attività. Le nuove campagne hanno colpito enti governativi e infrastrutturali critici negli Emirati Arabi Uniti e nella regione del Golfo. In questi attacchi, individuati da Trend Micro, OilRig ha distribuito una nuova backdoor, prendendo di mira i server Microsoft Exchange per rubare credenziali. Inoltre, gli hacker hanno anche sfruttato la falla CVE-2024-30088 di Windows per elevare i propri privilegi sui dispositivi compromessi. Oltre all'attività, Trend Micro ha anche individuato un collegamento tra OilRig e FOX Kitten, un altro gruppo APT con sede in Iran coinvolto in attacchi ransomware.
Come notato dai ricercatori, gli attacchi iniziano con lo sfruttamento di un server web vulnerabile per caricare una web shell. Ciò dà agli aggressori la possibilità di eseguire codice remoto e comandi PowerShell. Dopo che la web shell è attiva, OilRig la sfrutta per distribuire strumenti aggiuntivi, come un componente progettato per sfruttare la falla CVE-2024-30088 di Windows. Questa è una vulnerabilità di escalation dei privilegi di gravità elevata che Microsoft ha risolto a giugno 2024. Successivamente, OilRig registra una DLL di filtro password per intercettare le credenziali in chiaro durante gli eventi di modifica password. Fatto ciò, scarica e installa lo strumento di monitoraggio e gestione remoto "ngrok", utilizzato per comunicazioni furtive tramite tunnel sicuri.
Windows: hacker usano anche server Microsoft Exchange on-premise
Un'altra nuova tattica degli autori della minaccia è lo sfruttamento dei server Microsoft Exchange on-premise per rubare credenziali ed esfiltrare dati sensibili di utenti Windows. Ciò avviene tramite traffico e-mail legittimo, molto difficile da rilevare. L'esfiltrazione è facilitata da una nuova backdoor denominata "StealHook". Trend Micro afferma anche che l'infrastruttura governativa è spesso utilizzata come punto di svolta per far apparire legittimo il processo. Come spiegano i ricercatori nel loro report: "L'obiettivo principale di questa fase è catturare le password rubate e trasmetterle agli aggressori come allegati e-mail. Inoltre, abbiamo osservato che gli autori della minaccia sfruttano account legittimi con password rubate per instradare queste e-mail tramite i server Exchange governativi". TrendMicro afferma che ci sono delle somiglianze di codice tra StealHook e le backdoor usate da OilRig in campagne passate, come Karkoff. Quindi l'ultimo malware sembra essere un passo evolutivo piuttosto che una creazione innovativa da zero.
Inoltre, questa non è la prima volta che OilRig ha utilizzato i server Microsoft Exchange come componente attiva dei propri attacchi. Quasi un anno fa, Symantec ha segnalato che APT34 ha installato una backdoor PowerShell denominata "PowerExchange" su server Exchange on-premise. Questa era in grado di ricevere ed eseguire comandi tramite e-mail. L'attore della minaccia rimane molto attivo nella regione del Medio Oriente e la sua affiliazione con FOX Kitten, sebbene poco chiara al momento, è preoccupante. Ciò per la potenziale aggiunta di ransomware al suo arsenale di attacchi. Poiché la maggior parte delle entità prese di mira sono nel settore energetico, secondo Trend Micro, le interruzioni operative in queste organizzazioni potrebbero avere gravi ripercussioni su molte persone.