伊朗國家支持的黑客組織 APT34（又名 OilRig）最近升級了其活動，針對阿拉伯聯合酋長國和海灣地區的政府和關鍵基礎設施實體發起了新的攻擊。

在趨勢科技研究人員發現的這些攻擊中，OilRig 部署了一個新的后門，以微軟 Exchange 服務器為目標竊取憑證，還利用 Windows CVE-2024-30088 漏洞提升了他們在受攻擊設備上的權限。

除了這些活動，趨勢科技還發現 OilRig 與另一個參與勒索軟件攻擊的伊朗 APT 組織 FOX Kitten 之間存在聯系。

最新的 OilRig 攻擊鏈

趨勢科技表示，這種攻擊首先會利用有漏洞的 Web 服務器上傳 Web shell，使攻擊者能夠執行遠程代碼和 PowerShell 命令。

一旦 Web shell 處于活動狀態，OilRig 就會利用它部署其他工具，包括一個旨在利用 Windows CVE-2024-30088 漏洞的組件。

CVE-2024-30088 是微軟在 2024 年 6 月修復的一個高嚴重性權限升級漏洞，它使攻擊者能夠將權限升級到 SYSTEM 級別，從而對被入侵設備擁有重大控制權。

微軟已承認存在 CVE-2024-30088 的概念驗證漏洞，但尚未在其安全門戶網站上將該漏洞標記為主動漏洞。CISA 也沒有在 ts Known Exploited Vulnerability 目錄中報告該漏洞曾被利用。

隨后，OilRig 注冊了一個密碼過濾 DLL，以在密碼更改事件中攔截明文憑證，然后下載并安裝遠程監控和管理工具 “ngrok”，用于通過安全隧道進行隱蔽通信。

威脅行為者的另一種新策略是利用內部 Microsoft Exchange 服務器，通過難以察覺的合法電子郵件流量竊取憑證和外流敏感數據。

從 Exchange 竊取密碼的后門，來源：趨勢科技

名為 “StealHook ”的新型后門為密碼外泄提供了便利，而趨勢科技稱，政府基礎設施通常被用作支點，使這一過程看起來合法。

對此，趨勢科技在報告中解釋稱這一階段的關鍵目標是捕獲竊取的密碼，并將其作為電子郵件附件傳輸給攻擊者。

此外，我們還觀察到，威脅行為者利用帶有被盜密碼的合法賬戶，通過政府 Exchange 服務器路由這些電子郵件"。

石油鉆機的最新攻擊鏈，來源：趨勢科技

趨勢科技稱，StealHook與OilRig在過去的活動中使用的后門（如Karkoff）之間存在代碼相似性，因此最新的惡意軟件似乎是一種進化，而不是從頭開始的新創造。

這也并非 OilRig 首次使用微軟 Exchange 服務器作為其攻擊的活動組件。將近一年前，賽門鐵克曾報告稱，APT34 在內部部署的 Exchange 服務器上安裝了一個名為 “PowerExchange ”的 PowerShell 后門，能夠通過電子郵件接收和執行命令。

該威脅行為體在中東地區仍然非常活躍，它與 FOX Kitten 的關系目前還不清楚，但令人擔憂的是，它有可能將勒索軟件添加到其攻擊武器庫中。

據趨勢科技稱，由于大多數目標實體都在能源領域，因此這些組織一旦運營中斷那么將影響十分廣泛。