Se ha observado que el actor de amenazas iran\u00ed conocido como OilRig explota una falla de escalada de privilegios ahora parcheada que afecta al kernel de Windows como parte de una campa\u00f1a de ciberespionaje dirigida a los Emiratos \u00c1rabes Unidos y la regi\u00f3n del Golfo en general.<\/p>\n
“El grupo utiliza t\u00e1cticas sofisticadas que incluyen la implementaci\u00f3n de una puerta trasera que aprovecha los servidores de Microsoft Exchange para el robo de credenciales y la explotaci\u00f3n de vulnerabilidades como CVE-2024-30088 para escalar privilegios”, afirman los investigadores de Trend Micro Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal y Nick Dai. dicho<\/a> en un an\u00e1lisis publicado el viernes.<\/p>\n La empresa de ciberseguridad est\u00e1 rastreando al actor de amenazas bajo el apodo de Earth Simnavaz, que tambi\u00e9n se conoce como APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten.<\/p>\n Las cadenas de ataque implican el despliegue de un implante previamente no documentado que viene con capacidades para exfiltrar credenciales a trav\u00e9s de servidores locales de Microsoft Exchange, una t\u00e1ctica probada y adoptada por el adversario en el pasado, al mismo tiempo que incorpora vulnerabilidades reveladas recientemente a su exploit. arsenal.<\/p>\n CVE-2024-30088, parcheado<\/a> por Microsoft en junio de 2024, se trata de un caso de escalada de privilegios en el kernel de Windows que podr\u00eda explotarse para obtener privilegios del SISTEMA, suponiendo que los atacantes puedan ganar una condici\u00f3n de carrera.<\/p>\n El acceso inicial a las redes de destino se facilita mediante la infiltraci\u00f3n en un servidor web vulnerable para colocar un shell web, seguido de la eliminaci\u00f3n de la herramienta de administraci\u00f3n remota ngrok para mantener la persistencia y moverse a otros puntos finales en la red.<\/p>\n Posteriormente, la vulnerabilidad de escalada de privilegios sirve como conducto para entregar la puerta trasera, cuyo nombre en c\u00f3digo es STEALHOOK, responsable de transmitir los datos recopilados a trav\u00e9s del servidor Exchange a una direcci\u00f3n de correo electr\u00f3nico controlada por el atacante en forma de archivos adjuntos.<\/p>\n Una t\u00e9cnica notable empleada por OilRig en el \u00faltimo conjunto de ataques implica el abuso de privilegios elevados para eliminar el filtro de contrase\u00f1a<\/a> DLL de pol\u00edtica (psgfilter.dll) para extraer credenciales confidenciales de usuarios de dominio a trav\u00e9s de controladores de dominio o cuentas locales en m\u00e1quinas locales.<\/p>\n “El actor malicioso tuvo mucho cuidado al trabajar con las contrase\u00f1as de texto plano mientras implementaba las funciones de exportaci\u00f3n del filtro de contrase\u00f1as”, dijeron los investigadores. “El actor de amenazas tambi\u00e9n utiliz\u00f3 contrase\u00f1as de texto sin formato para obtener acceso e implementar herramientas de forma remota. Las contrase\u00f1as de texto sin formato se cifraron primero antes de ser exfiltradas cuando se enviaban a trav\u00e9s de redes”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/OilRig-explota-un-defecto-del-kernel-de-Windows-en-una.png\")
<\/a><\/center><\/div>\n