主要观点总结
本文主要介绍了伊朗黑客组织APT34(又名OilRig)的新行动,该组织针对阿拉伯联合酋长国和海湾地区的政府和关键基础设施实体展开攻击。Trend Micro研究人员发现了OilRig部署了新的后门程序,利用Windows CVE-2024-30088漏洞提升权限,并揭示了其与FOX Kitten之间的联系。攻击包括利用Web服务器上传Web shell,部署其他工具,注册密码过滤器DLL,下载并安装远程监控和管理工具“ngrok”,通过安全隧道进行隐蔽通信,以及通过难以检测的合法电子邮件流量窃取凭据并泄露敏感数据等步骤。这不是OilRig第一次利用微软Exchange服务器,此前它已在本地Exchange服务器上安装名为“PowerExchange”的PowerShell后门。该黑客组织在中东地区仍然非常活跃,其对能源行业目标的攻击可能会影响许多人。
关键观点总结
关键观点1: 伊朗黑客组织APT34(又名OilRig)针对阿拉伯联合酋长国和海湾地区的政府及关键基础设施实体展开新行动。
这些行动利用了CVE-2024-30088漏洞进行权限提升。
关键观点2: OilRig部署了新的后门程序以窃取凭据,并利用Web服务器上传Web shell来部署其他工具。
这些工具包括密码过滤器DLL和远程监控及管理工具“ngrok”,用于隐蔽通信。
关键观点3: OilRig通过合法电子邮件流量窃取凭据并泄露敏感数据。
他们使用了一种名为“StealHook”的新后门程序来实现这一目的。
关键观点4: OilRig与另一个伊朗APT组织FOX Kitten之间存在联系。
他们的攻击行为令人担忧,可能会开始使用勒索软件作为攻击手段的一部分。
关键观点5: OilRig的攻击目标主要集中在能源行业,可能会影响许多人的日常生活。
该黑客组织在中东地区仍然非常活跃,需要持续关注其动态并加强防范。
文章预览
伊朗黑客组织APT34,又名OilRig,最近开展了新行动,针对阿拉伯联合酋长国和海湾地区的政府和关键基础设施实体。 Trend Micro研究人员发现, OilRig部署了一种新的后门程序,以微软Exchange服务器为目标窃取凭据,利用Windows CVE-2024-30088 漏洞来提升他们在受感染设备上的权限。 除了这些活动之外, 研究人员还发现了OilRig和FOX Kitten之间的联系, FOX Kitten是另一个涉及勒索软件攻击的伊朗APT组织。 CVE-2024-30088是Microsoft于2024年6月修复的高严重性权限提升漏洞。微软确认存在CVE-2024-30088的概念验证漏洞,但其安全门户、CISA没有标记正在被利用。 研究人员称, 攻击始于利用易受攻击的Web服务器上传Web shell ,使攻击者能够执行远程代码和PowerShell命令。 一旦Web Shell处于活动状态,OilRig就会利用它来部署其他工具,其中包括Windows漏洞CVE-2024-30088的组件。 接下来
………………………………
