ההאקרים מאיראן לא נחים לרגע

קבוצת ההאקרים האיראנית OilRig, הידועה גם בכינוי APT34, הגבירה את פעילות הריגול בסייבר שלה, תוך שהיא מתמקדת בתשתיות קריטיות ובארגוני ממשל באיחוד האמירויות הערביות ובכלל, באזור המפרץ הפרסי.

חוקרי אבטחה מהחברה הטורקית Picus Labs חשפו אתמול (ג') קמפיין חדש ומתוחכם של הקבוצה בסייבר, שממנף פגיעות בליבת Windows שלא הייתה ידועה עד כה כדי להשיג הרשאות ולפרוס נוזקות מתקדמות.

בלב המתקפות האחרונות של חברי OilRig נמצא ניצול של החולשה CVE-2024-30088 – פגיעות של הסלמת הרשאות בעלת רמת חומרה גבוהה, שמשפיעה על ליבת Windows. חולשה זו מאפשרת לתוקפים להעלות את רמת ההרשאות שלהם ל-System ומעניקה להם שליטה נרחבת על המכונות שנפרצו.

מיקרוסופט תיקנה את הפגיעות ביוני השנה, אך חברי OilRig נצפו מנצלים אותה למרות זאת.

איך זה עובד?

שרשרת התקיפה מתחילה בפריצה לשרתי אינטרנט פגיעים, כדי שחברי OilRig יוכלו לבסס גישה ראשונית למערכות הקורבן. לאחר דריסת רגל זו, הקבוצה פורסת כלים נוספים, כולל רכיב שנועד לנצל את CVE-2024-30088.

אחרי קבלת הרשאות מלאות, ההאקרים האיראניים מתקינים דלת אחורית מתוחכמת, שמתמקדת בשרתי Microsoft Exchange מקומיים. דלת אחורית זו, שמכונה Stealhook, מאפשרת לתוקפים לבצע מגוון פעילויות זדוניות, כולל תנועה רוחבית בין רשתות, וחילוץ קבצים ואישורים רגישים.

"היכולת של OilRig להגיע במהירות לנקודות תורפה שנחשפו באחרונה מדגישה את היכולות המתקדמות של הקבוצה ואת האיום המתמשך שהן מציבות לארגוני היעד", כתבו חוקרי חברת האבטחה הטורקית.

שימוש בטקטיקות מתקדמות נוספות

החוקרים ציינו שבנוסף לניצול CVE-2024-30088, ההאקרים ממשיכים להשתמש בטקטיקות מתקדמות אחרות. הקבוצה נצפתה מנצלת לרעה קבצי DLL של מדיניות סינון סיסמאות – כדי לחלץ סיסמאות בעזרת כלי ניטור מרחוק.

מומחי אבטחה הזהירו כי "להתמקדות של חברי OilRig בתשתיות קריטיות, במיוחד במגזר האנרגיה, עלולות להיות השלכות חמורות אם הם יצליחו במשימת התקיפה שלהם".

"הטקטיקות המתפתחות של הקבוצה והשימוש בפגיעויות יום אפס מדגישים את הצורך של ארגונים לשמור על תהליכי ניהול הטלאות חזקים וליישם הגנות אבטחה רב שכבתיות", הוסיפו.

החוקרים בסיימו בהמלצות: "ככל שהקמפיינים של OilRig ממשיכים להתפתח, מומלץ לצוותי אבטחת סייבר להישאר ערניים ולתעדף תיקון של נקודות תורפה קריטיות, במיוחד אלה שידועות כמנוצלות. ארגונים במגזרים ממוקדים צריכים ליישם ניטור נוסף לסימני פגיעה ולשקול פריסת כלים מתקדמים לזיהוי איומים, כדי לזהות ולמתן התקפות מתוחכמות. גילוי הניצול של החולשה על ידי קבוצת הפריצה האיראנית הוא תזכורת לאופי המתמיד והמתפתח של איומי סייבר בחסות המדינה. ככל שקבוצות אלה משכללות את הטקטיקות שלהן ומרחיבות את יכולותיהן, קהילת אבטחת הסייבר העולמית חייבת להישאר פרו-אקטיבית בפיתוח וביישום אסטרטגיות הגנה חזקות, כדי להגן על נכסים קריטיים ומידע רגיש מפני מתקפות מתוחכמות יותר ויותר".