Иранские хакеры активно охотятся за учетными данными, которые могут предоставить им доступ к организациям и личным системам в ОАЭ и других странах Персидского залива.
Согласно отчету компании Trend Micro , хакерская группа OilRig (также известная как APT43 или Cobalt Gipsy) нацелена на уязвимые серверы, чтобы развернуть веб-оболочки. Эти оболочки позволяют выполнять PowerShell и внедрять вредоносное ПО на серверах.
Вредоносное ПО использует уязвимость CVE-2024-30088 для повышения привилегий и кражи конфиденциальной информации. Эта уязвимость была устранена компанией Microsoft в июне 2024 года и описана как ошибка повышения привилегий в ядре Windows с оценкой 7.0 (высокая).
В атаках используется вредоносное ПО под названием STEALHOOK. Оно служит для кражи данных и отправляет их на командный сервер злоумышленников. Особенность STEALHOOK заключается в том, что оно смешивает украденные данные с легитимными и передает их через сервер Exchange.
Как сообщает BleepingComputer , OilRig является группировкой, спонсируемой государством. Группа остается “весьма активной” в регионе Ближнего Востока и, предположительно, связана с другой иранской APT-группой FOX Kitten, которая занимается атаками с использованием программ-вымогателей.
Большинство жертв работает в энергетическом секторе, что вызывает опасения, что любые сбои в их деятельности могут серьезно повлиять на широкие слои населения.
Несмотря на доказательства эксплуатации уязвимости, Агентство по кибербезопасности и инфраструктуре США (CISA) пока не включило CVE-2024-30088 в свой каталог известных уязвимостей.