Se ha observado que el actor de amenazas iraní conocido como OilRig explota una falla de escalada de privilegios ahora parcheada que afecta al kernel de Windows como parte de una campaña de ciberespionaje dirigida a los Emiratos Árabes Unidos y la región del Golfo en general.
“El grupo utiliza tácticas sofisticadas que incluyen la implementación de una puerta trasera que aprovecha los servidores de Microsoft Exchange para el robo de credenciales y la explotación de vulnerabilidades como CVE-2024-30088 para escalar privilegios”, afirman los investigadores de Trend Micro Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal y Nick Dai. dicho en un análisis publicado el viernes.
La empresa de ciberseguridad está rastreando al actor de amenazas bajo el apodo de Earth Simnavaz, que también se conoce como APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten.
Las cadenas de ataque implican el despliegue de un implante previamente no documentado que viene con capacidades para exfiltrar credenciales a través de servidores locales de Microsoft Exchange, una táctica probada y adoptada por el adversario en el pasado, al mismo tiempo que incorpora vulnerabilidades reveladas recientemente a su exploit. arsenal.
CVE-2024-30088, parcheado por Microsoft en junio de 2024, se trata de un caso de escalada de privilegios en el kernel de Windows que podría explotarse para obtener privilegios del SISTEMA, suponiendo que los atacantes puedan ganar una condición de carrera.
El acceso inicial a las redes de destino se facilita mediante la infiltración en un servidor web vulnerable para colocar un shell web, seguido de la eliminación de la herramienta de administración remota ngrok para mantener la persistencia y moverse a otros puntos finales en la red.
Posteriormente, la vulnerabilidad de escalada de privilegios sirve como conducto para entregar la puerta trasera, cuyo nombre en código es STEALHOOK, responsable de transmitir los datos recopilados a través del servidor Exchange a una dirección de correo electrónico controlada por el atacante en forma de archivos adjuntos.
Una técnica notable empleada por OilRig en el último conjunto de ataques implica el abuso de privilegios elevados para eliminar el filtro de contraseña DLL de política (psgfilter.dll) para extraer credenciales confidenciales de usuarios de dominio a través de controladores de dominio o cuentas locales en máquinas locales.
“El actor malicioso tuvo mucho cuidado al trabajar con las contraseñas de texto plano mientras implementaba las funciones de exportación del filtro de contraseñas”, dijeron los investigadores. “El actor de amenazas también utilizó contraseñas de texto sin formato para obtener acceso e implementar herramientas de forma remota. Las contraseñas de texto sin formato se cifraron primero antes de ser exfiltradas cuando se enviaban a través de redes”.
Vale la pena señalar que el uso de psgfilter.dll se observó en diciembre de 2022 en relación con una campaña dirigida a organizaciones en el Medio Oriente que utilizaba otra puerta trasera denominada MrPerfectionManager.
“Su actividad reciente sugiere que Earth Simnavaz se centra en abusar de las vulnerabilidades en infraestructura clave de regiones geopolíticamente sensibles”, señalaron los investigadores. “También buscan establecer un punto de apoyo persistente en las entidades comprometidas, de modo que puedan usarse como armas para lanzar ataques contra objetivos adicionales”.
About the Author
