Тень OilRig: Иран наносит удар по инфраструктуре ОАЭ

CVE-2024-30088 позволяет злоумышленникам красть данные через STEALHOOK.


qwrpks9p7muevsvaqtptvnki04zj5pi6.jpg


Иранские хакеры активно охотятся за учетными данными, которые могут предоставить им доступ к организациям и личным системам в ОАЭ и других странах Персидского залива.

Согласно отчету компании Trend Micro , хакерская группа OilRig (также известная как APT43 или Cobalt Gipsy) нацелена на уязвимые серверы, чтобы развернуть веб-оболочки. Эти оболочки позволяют выполнять PowerShell и внедрять вредоносное ПО на серверах. Вредоносное ПО использует уязвимость CVE-2024-30088 для повышения привилегий и кражи конфиденциальной информации. Эта уязвимость была устранена компанией Microsoft в июне 2024 года и описана как ошибка повышения привилегий в ядре Windows с оценкой 7.0 (высокая).

В атаках используется вредоносное ПО под названием STEALHOOK. Оно служит для кражи данных и отправляет их на командный сервер злоумышленников. Особенность STEALHOOK заключается в том, что оно смешивает украденные данные с легитимными и передает их через сервер Exchange.

Как сообщает BleepingComputer , OilRig является группировкой, спонсируемой государством. Группа остается «весьма активной» в регионе Ближнего Востока и, предположительно, связана с другой иранской APT-группой FOX Kitten, которая занимается атаками с использованием программ-вымогателей.

Большинство жертв работает в энергетическом секторе, что вызывает опасения, что любые сбои в их деятельности могут серьезно повлиять на широкие слои населения.

Несмотря на доказательства эксплуатации уязвимости, Агентство по кибербезопасности и инфраструктуре США (CISA) пока не включило CVE-2024-30088 в свой каталог известных уязвимостей.