عامل تهدید ایرانی موسوم به OilRig مشاهده شده که از یک نقص ارتقا دسترسی در کرنل ویندوز (وصله شده در ژوئن 2024) با شناسه CVE-2024-30088 و امتیاز 7.0، به عنوان بخشی از یک کمپین جاسوسی سایبری پیشرفته با تمرکز بر امارات متحده عربی و مناطق خلیج فارس، استفاده میکند.
محققان Trend Micro در تحلیلی گفتند: «این گروه از تاکتیکهای پیچیدهای که شامل استقرار دربپشتی STEALHOOK است، از سرورهای Microsoft Exchange به منظور سرقت اطلاعات ورود حسابها استفاده میکند و جهت ارتقا سطح دسترسی آسیبپذیریهایی مانند CVE-2024-30088 را اکسپلویت میکند.
Trend Micro در حال ردیابی عامل تهدید تحت عنوان Earth Simnavaz است که با نامهای APT34، Crambus، Cobalt Gypsy، GreenBug، Hazel Sandstorm (EUROPIUM سابق) و Helix Kitten نیز شناخته میشود. آسیبپذیری مذکور که برای به دست آوردن دسترسی SYSTEM اکسپلویت میشود، متعاقباً به عنوان مجرای تحویل درب پشتی، مسئول انتقال دادههای جمعآوری شده از طریق سرور Exchange به آدرس ایمیل تحت کنترل نفوذگر در قالب پیوستها عمل میکند.
https://thehackernews.com/2024/10/oilrig-exploits-windows-kernel-flaw-in.html
