Se observó que el actor iraní conocido como OilRig explotaba una vulnerabilidad de elevación de privilegios ahora parcheada que afectaba al kernel de Windows como parte de una campaña de ciberespionaje dirigida a los Emiratos Árabes Unidos y la región del Golfo en sentido amplio.
“El grupo utiliza tácticas sofisticadas que incluyen la implementación de una puerta trasera que explota los servidores de Microsoft Exchange para el robo de credenciales y la explotación de vulnerabilidades como CVE-2024-30088 para la escalada de privilegios”, dijeron los investigadores de Trend Micro Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal y Nick Dai. dicho en un análisis publicado el viernes.
La empresa de ciberseguridad rastrea al actor de amenazas bajo el nombre de Earth Simnavaz, también conocido como APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten.
Las cadenas de ataque implican el despliegue de un implante previamente no documentado con capacidades para filtrar credenciales a través de servidores locales de Microsoft Exchange, una táctica probada adoptada por el adversario en el pasado, y que también integra vulnerabilidades recientemente reveladas en su exploit. arsenal.
CVE-2024-30088, parcheado por Microsoft en junio de 2024, se trata de un caso de escalada de privilegios en el kernel de Windows que podría explotarse para obtener privilegios del SISTEMA, suponiendo que los atacantes puedan ganar una condición de carrera.
El acceso inicial a las redes de destino se facilita infiltrándose en un servidor web vulnerable para eliminar un shell web, seguido de la eliminación de la herramienta de administración remota ngrok para mantener la persistencia y moverse a otros puntos finales de la red.
La vulnerabilidad de elevación de privilegios sirve entonces como canal para entregar la puerta trasera, denominada STEALHOOK, responsable de transmitir los datos recopilados a través del servidor Exchange a una dirección de correo electrónico controlada por el atacante en forma de archivos adjuntos.
Una técnica notable empleada por OilRig en la última serie de ataques implica el abuso de privilegios elevados para eliminar el filtro de contraseña DLL de política (psgfilter.dll) para extraer credenciales confidenciales de usuarios de dominio a través de controladores de dominio o cuentas locales en máquinas locales.
“El actor de amenazas tuvo mucho cuidado al trabajar con contraseñas de texto plano al implementar las funciones de exportación del filtro de contraseñas”, dijeron los investigadores. “El actor de la amenaza también utilizó contraseñas de texto sin formato para acceder e implementar herramientas de forma remota. Las contraseñas de texto sin formato se cifraron primero antes de ser exfiltradas cuando se enviaban a través de las redes”.
Cabe señalar que el uso de psgfilter.dll se observó en diciembre de 2022 como parte de una campaña dirigida a organizaciones de Medio Oriente que utilizaba otra puerta trasera denominada MrPerfectionManager.
“Su actividad reciente sugiere que Earth Simnavaz se centra en la explotación abusiva de vulnerabilidades en infraestructura clave en regiones geopolíticamente sensibles”, señalaron los investigadores. “También buscan establecer una presencia persistente en entidades comprometidas, de modo que puedan usarse para lanzar ataques contra objetivos adicionales”.