APT34 olarak da bilinen İran devlet destekli bilgisayar korsanlığı grubu OilRig, Birleşik Arap Emirlikleri ve Körfez bölgesindeki kritik altyapıları ve hükümet kuruluşlarını hedef alarak siber casusluk faaliyetlerini yoğunlaştırdı.
Picus Labs’ın güvenlik araştırmacıları, ayrıcalıkları yükseltmek ve gelişmiş kötü amaçlı yazılımları dağıtmak için önceden bilinmeyen bir Windows Çekirdeği güvenlik açığından yararlanan karmaşık yeni bir saldırıyı ortaya çıkardı.
CVE-2024-30088: OilRig’in Arsenalinde Yeni Bir Silah
OilRig’in son saldırılarının merkezinde, Windows Çekirdeğini etkileyen yüksek önem derecesine sahip bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-30088’in kötüye kullanılması yer alıyor. Bu kusur, saldırganların ayrıcalıklarını SİSTEM düzeyine yükseltmesine olanak tanıyarak, güvenliği ihlal edilmiş makineler üzerinde kapsamlı kontrol sahibi olmalarını sağlar.
Microsoft, Haziran 2024’te güvenlik açığını yamaladı ancak OilRig’in bu güvenlik açığını aktif olarak kullandığı gözlemlendi.
Saldırı zinciri, OilRig’in ilk erişimi sağlamak için bir web kabuğu yüklediği savunmasız web sunucularının ele geçirilmesiyle başlar. Grup, bu dayanaktan yola çıkarak, CVE-2024-30088’den yararlanmak için tasarlanmış bir bileşen de dahil olmak üzere ek araçlar dağıtıyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Yükseltilmiş ayrıcalıklar elde edildikten sonra OilRig, şirket içi Microsoft Exchange sunucularını hedef alan gelişmiş bir arka kapı yükler.
STEALHOOK olarak bilinen bu arka kapı, saldırganların ağlar arasında yanal hareket etme ve hassas dosyaların ve kimlik bilgilerinin çıkarılması da dahil olmak üzere bir dizi kötü amaçlı etkinlik gerçekleştirmesine olanak tanır.
OilRig’in yeni ortaya çıkan güvenlik açıklarını hızla silah haline getirme yeteneği, grubun gelişmiş yeteneklerini ve hedeflenen kuruluşlara yönelik oluşturdukları süregelen tehdidi vurguluyor.
OilRig, CVE-2024-30088’den yararlanmanın yanı sıra diğer gelişmiş taktikleri de uygulamaya devam ediyor. Grubun, düz metin şifreleri çıkarmak için bırakılan şifre filtresi politikası DLL’lerini kötüye kullandığı, trafiği tünellemek için Ngrok uzaktan izleme aracından yararlandığı ve çeşitli yollarla kalıcılığı koruduğu gözlemlendi.
Güvenlik uzmanları, OilRig’in özellikle enerji sektöründeki kritik altyapıya odaklanmasının başarılı olması durumunda ciddi sonuçlara yol açabileceği konusunda uyarıyor.
Grubun gelişen taktikleri ve sıfır gün güvenlik açıklarını kullanması, kuruluşların sağlam yama yönetimi süreçlerini sürdürme ve çok katmanlı güvenlik savunmaları uygulama ihtiyacının altını çiziyor.
OilRig’in kampanyaları gelişmeye devam ettikçe, siber güvenlik ekiplerine dikkatli olmaları ve kritik güvenlik açıklarının, özellikle de doğada istismar edildiği bilinenlerin kapatılmasına öncelik vermeleri tavsiye ediliyor.
Hedeflenen sektörlerdeki kuruluşlar ayrıca, tehlike işaretlerine karşı ek izleme uygulamalı ve karmaşık saldırıları tanımlamak ve azaltmak için gelişmiş tehdit algılama araçlarını kullanmayı düşünmelidir.
OilRig’in CVE-2024-30088’i kullandığının keşfi, devlet destekli siber tehditlerin kalıcı ve gelişen doğasının bir hatırlatıcısıdır.
Bu gruplar taktiklerini geliştirdikçe ve yeteneklerini genişletirken, küresel siber güvenlik topluluğu, kritik varlıkları ve hassas bilgileri giderek daha karmaşık hale gelen saldırılardan korumak için sağlam savunma stratejileri geliştirme ve uygulama konusunda proaktif kalmalıdır.
Uzlaşma Göstergeleri
Dosya Karmaları
QUADAGENT
d7130e42663e95d23c547d57e55099c239fa249ce3f6537b7f2a8033f3aa73de
OilRig Üç Dolar
1f6369b42a76d02f32558912b57ede4f5ff0a90b18d3b96a4fe24120fa2c300c
mscom.exe
0ca0febadb1024b0a8961f21edbf3f6df731ca4dd82702de3793e757687aefbc
Kişi Listesi.xls
9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777
Dell.exe
5db93f1e882f4d7d6a9669f8b1ab091c0545e12a317ba94c1535eb86bc17bd5b
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin