OilRig, noto attore di minacce iraniano, è stato recentemente osservato sfruttare una vulnerabilità di escalation dei privilegi nel kernel di Windows come parte di una campagna di spionaggio informatico che prende di mira gli Emirati Arabi Uniti e l'intera regione del Golfo. Questa vulnerabilità, identificata come CVE-2024-30088, è stata individuata e successivamente corretta da Microsoft nel giugno 2024. La falla consentiva agli attaccanti di ottenere privilegi di sistema assumendo il controllo di una race condition. Questo tipo di attacco mette in evidenza l'importanza di mantenere aggiornati i sistemi per prevenire l'esposizione a minacce simili.
Attacchi di OilRig
Gli attacchi di OilRig si distinguono per l'uso di tattiche sofisticate, come l'implementazione di un backdoor che sfrutta i server Microsoft Exchange per il furto di credenziali. Questo gruppo, noto anche come Earth Simnavaz, APT34, e sotto altri alias, dimostra una spiccata capacità nel combinare tecniche consolidate con la ricerca di nuove vulnerabilità da sfruttare. L'accesso iniziale alle reti bersaglio avviene infiltrando un server web vulnerabile, impiegando successivamente strumenti di gestione remota come ngrok per mantenere la persistenza e spostarsi verso ulteriori endpoint nella rete.
Backdoor STEALHOOK
Un elemento centrale della campagna è l'uso del backdoor STEALHOOK, progettato per trasmettere dati raccolti tramite il server Exchange a un indirizzo email controllato dagli attaccanti, sotto forma di allegati. Un aspetto particolarmente degno di nota è l'abuso dei privilegi elevati per introdurre la DLL del filtro password (psgfilter.dll), mirata a estrarre credenziali sensibili da controller di dominio o account locali.
Continuità nelle tattiche
L'uso di psgfilter.dll non è nuovo; era già stato osservato nel dicembre 2022 in una campagna che prendeva di mira organizzazioni in Medio Oriente con un altro backdoor noto come MrPerfectionManager. Questo suggerisce una continuità nelle tattiche di OilRig, che mostra un interesse costante nello sfruttare vulnerabilità nelle infrastrutture chiave di regioni geopoliticamente sensibili. Tali attività indicano che Earth Simnavaz mira a stabilire una presenza persistente nelle entità compromesse, potenzialmente per utilizzarle come trampolini di lancio per ulteriori attacchi.
Misure di sicurezza
È essenziale per le organizzazioni situate in queste aree mantenere una vigilanza costante e adottare misure proattive di sicurezza informatica. Aggiornamenti regolari dei software e una formazione continua del personale sulla sicurezza informatica possono rappresentare una prima linea di difesa efficace contro tali minacce sofisticate.