Поделиться
Иранские хакеры научились использовать для шпионажа уже исправленную «дыру» в ядре Windows
Устранённая ещё летом уязвимость в Windows позволяет повысить привилегии злоумышленника в системе - при соблюдении определённых условий.
Качаем реквизиты
Иранская кибергруппировка OilRig активно эксплуатирует уязвимость в ядре ОС Windows в шпионских целях.
Речь идёт об уязвимости CVE-2024-30088, допускающей повышение привилегий в системе. Как указывают специалисты компании Trend Micro, опубликовавшие исследование деятельности OilRig, эксплуатация данного «бага» - лишь одна составляющая в их атаках.
«Группировка применяет продвинутые методики, включающие бэкдор, который крадёт с серверов Microsoft Exchange реквизиты доступа, и эксплуатирует такие уязвимости как CVE-2024-30088 для повышения привилегий», - пишут автор исследования.
Trend Micro отслеживает группировку под условным названием Earth Simnavaz. Другие ИБ-вендоры присваивали ей такие названия как APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm, EUROPIUM и Helix Kitten.
Стадии атаки включают развёртывание прежде незадокументированного импланта, который способен выводить реквизиты доступа с локальных серверов Microsoft Exchange, а также использовать целый ворох недавно раскрытых уязвимостей.
Метод воровства реквизитов для авторизации с серверов Microsoft Exchange - одна из излюбленных тактик этой группировки.
Уязвимость CVE-2024-30088 была исправлена Microsoft в июне 2024 г. Её успешная эксплуатация позволяла потенциальным злоумышленникам добиться привилегий уровня SYSTEM, но при условии, что злоумышленники успешно реализуют состояние гонки в уязвимой системе и берут в ней верх.
Изначальный доступ осуществляется посредством установки в уязвимом веб-сервере веб-шелла и инструмента для удалённого управления ngrok. Этим обеспечивается возможность сохранять постоянство присутствия и передвигаться по другим конечным точкам сети.
Далее устанавливается бэкдор STEALHOOK, который используется для переправки собранных данных через сервер Exchange на почтовый адрес, контролируемый злоумышленником. Данные переправляются через почтовые вложения.
Фильтрационный лагерь паролей
В самых недавних атаках OilRig злоупотребляет повышенными привилегиями ещё и для того, чтобы загружать на сервер библиотеку psgfilter.dll - она задаёт политику фильтрации паролей. С её помощью злоумышленники выводят значимые реквизиты от пользователей доменов через машины-контроллеры, локальные аккаунты или локальные машины.
«Злоумышленники с большой тщательностью обращаются с незашифрованными паролями, одновременно используя функции экспорта почтовых фильтров. Кроме того, они использовали незашифрованные пароли для получения удалённого доступа и установки дополнительных инструментов. Все эти пароли шифровались только непосредственно перед выводом через другие сети», - пишут исследователи.
Файл psgfilter.dll впервые был замечен в декабре 2022 г. в рамках кампании, нацеленной на ближневосточные организации; тогда вместе с ним использовался другой бэкдор - MrPerfectionManager.
По мнению исследователей, группировка специализируется на уязвимостях в ключевой инфраструктуре геополитически значимых регионов, и старается обеспечить себе присутствие в скомпрометированных компаниях, чтобы в нужный момент можно было провести атаку.
«С того момента как обнаружился Stuxnet, все режимы, которые могут себе это позволить, создали киберармии, да и кибернаёмников развелось более чем в достаточных количествах, чтобы превратить Сеть в поле непрерывной конфронтации, - указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Но это стало возможным из-за того, как разрабатывались все те программные пакеты, которые они атакуют, и как отлажены - или не отлажены вовсе - процедуры обеспечения безопасности. Слабейшим звеном везде оказывается человек - разработчик или пользователь».
Эксперт отметила, что активное противоборство в сетях, очевидно, будет продолжаться до тех пор, пока не случится какой-то катаклизм, который напугает все стороны в достаточной степени, чтобы начать устанавливать общие правила игры. На данный момент их нет и не предвидится.
Поделиться
Короткая ссылка
