Іранські хакери почали атакувати ОАЕ новими методами

Іранські хакери почали атакувати інфраструктуру ОАЕ та регіону Перської затоки. Кібератаки переважно спрямовані на урядові організації та об’єкти критичної інфраструктури.

Про ці атаки розповіли дослідники безпеки з компанії Trend Micro. Експерти кажуть, що хакерська група APT34 з Ірану, відома як OilRig, розгорнула новий бекдор, який спрямований на сервери Microsoft Exchange. Мета атак стандартна – крадіжка облікових даних, для чого хакери використовували дефект Windows CVE-2024-30088, щоб підвищити свої привілеї на зламаних пристроях.

Зловмисники працюють «з двох флангів»: дослідники з Trend Micro встановили зв’язок між OilRig і FOX Kitten, іншою іранською групою, що бере участь в атаках із використанням здирницького ПЗ.

До того ж атаки, помічені Trend Micro, починаються з використання вразливого сервера для завантаження веб-оболонки, що дає хакерам можливість віддаленого виконання коду і команд PowerShell. Після активації оболонки кіберзлочинці використовують програмне середовище для розгортання додаткових інструментів, зокрема компонент, який призначений для експлуатації дефекту Windows CVE-2024-30088.

Як пишуть дослідники, CVE-2024-30088 – уразливість із високим рівнем підвищення привілеїв, яку Microsoft усунула в червні 2024 року. Ймовірно, пролом у захисті операційної системи все ще дає змогу зловмисникам підвищити свої привілеї до рівня SYSTEM, що дає значний контроль над зламаними пристроями.