گروه هک ایرانی OilRig که با نام APT34 نیز شناخته میشود، فعالیتهای جاسوسی سایبری خود را تشدید کرده و زیر ساختهای حیاتی و نهادهای دولتی را در امارات متحده عربی و منطقه وسیعتر خلیج فارس هدف قرار داده است.
محققان امنیتی Picus Labs یک کمپین پیچیده جدید را کشف کردهاند که از آسیبپذیری ناشناخته کرنل ویندوز به منظور ارتقا دسترسی و استقرار بدافزارهای پیشرفته استفاده میکند. در آخرین حملات OilRig، آسیبپذیری ارتقا دسترسی CVE-2024-30088 (امتیاز 7.0) که بر کرنل ویندوز تأثیر میگذارد، اکسپلویت شده است. این نقص به مهاجمان اجازه میدهد تا سطح دسترسی خود را به SYSTEM برسانند و به آنها کنترل گستردهای بر روی دستگاههای در معرض خطر میدهند. مایکروسافت این آسیبپذیری را در ژوئن 2024 وصله کرد، اما طبق مشاهدات OilRig به طور فعال از آن استفاده میکند. زنجیره حمله با به خطر انداختن وب سرورهای آسیبپذیر آغاز میشود، جایی که OilRig یک وبشل را برای ایجاد دسترسی اولیه آپلود میکند. سپس ابزارهای اضافی از جمله مؤلفهای که برای اکسپلویت نقص مذکور طراحی شده است، به کار گرفته میشود. درب پشتی STEALHOOK، مهاجمان را قادر میسازد تا طیف وسیعی از فعالیتهای مخرب از جمله حرکت جانبی در شبکهها و استخراج فایلهای حساس و اعتبار را انجام دهند.
https://siembiot.eu/cyber-security-news/oilrig-hackers-exploiting-windows-kernel-0-day-to-attack-organizations/24914
