OilRig bilgisayar korsanları (aka Earth Simnavaz, APT34, OilRig) “İran” çıkarlarıyla bağlantılı bir siber casusluk grubudur.
Bu APT grubu öncelikli olarak enerji, kamu ve kritik altyapı sektörlerini hedeflemektedir.
Trend Micro’daki siber güvenlik araştırmacıları yakın zamanda OilRig bilgisayar korsanlarının oturum açma ayrıntılarını çalmak için Microsoft e\Exchange sunucusunu aktif olarak kullandığını keşfetti.
Gelişmiş siber saldırılarla öncelikle BAE ve Körfez bölgelerini hedef alıyorlar. Gelişmiş taktikleri arasında, kimlik bilgilerini çalmak için Microsoft Exchange sunucularını hedef alan yeni bir arka kapının konuşlandırılması yer alıyor.
OilRig Hackerları Microsoft Exchange Sunucularını İstismar Ediyor
Grubun saldırı zinciri, RCE’ye ve dosya manipülasyonuna izin veren savunmasız sunuculara bir web kabuğu yüklemekle başlıyor.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Daha sonra ağın devamlılığı ve yanal hareket için uzaktan izleme aracı olan “ngrok”u kullanıyorlar.
Earth Simnavaz, kötü amaçlı kod yüklemek için “RunPE-In-Memory” özelliğini kullanarak “ayrıcalık yükseltme” amacıyla “CVE-2024-30088″i (bir Windows Çekirdeği güvenlik açığı) kullanıyor.
Tehdit aktörleri, kimlik bilgilerini yakalamak ve güvenliği ihlal edilmiş Exchange sunucuları üzerinden veri sızdırmak için bir “şifre filtresi DLL’si” yükler.
Trend Micro raporuna göre araç seti, kalıcılık için “özel yükleyiciler”, “şifreli veriler” ve “zamanlanmış görevler” içeriyor.
Grup ayrıca tedarik zinciri saldırılarından da yararlanıyor ve “FOX Kitten” (fidye yazılımı kampanyalarıyla bağlantılı başka bir APT grubu) ile bağlantıları var.
Bu kapsamlı yaklaşım, Earth Simnavaz’ın gelişen yeteneklerini ve “kritik altyapı” ve “hükümet sistemleri” için oluşturduğu kalıcı tehdidi gösteriyor.
Saldırı metodolojileri, bırakılan “şifre filtresi ilkelerini” kötüye kullanarak ve “ngrok” gibi “Uzaktan İzleme ve Yönetim” (RMM) araçlarını kullanarak kimlik bilgilerine sızmak için “şirket içi Exchange sunucularından” yararlanmayı içerir.
Grup, “LSA” doğrulama işlemi sırasında düz metin şifrelerini engellemek için “psgfilter.dll” gibi kötü amaçlı DLL’ler dağıtıyor.
Çalınan kimlik bilgilerini almak ve genellikle “meşru devlet Exchange sunucuları” üzerinden yönlendirilen e-posta ekleri aracılığıyla verileri sızdırmak için “STEALHOOK” adı verilen özel bir arka kapı kullanıyorlar.
Siber casusluk grubu ‘Earth Simnavaz’ kalıcılığını sürdürmek için ayrıca “PowerShell komut dosyalarını”, “web kabuklarını” ve “.NET araçlarını” kullanıyor.
Teknikleri şunları içerir:-
- Kayıt defteri anahtarlarını işlemek.
- Exchange Web Hizmetleri (EWS) API’sinden yararlanma.
- C&C iletişimi için gizli tüneller oluşturmak amacıyla ngrok aracını kullanmak.
Grubun öncelikli hedefinin “casusluk” ve hassas hükümet bilgilerinin “hırsızlığı” olduğu görülüyor. Sadece bu değil, kötü amaçlı yazılımları bile öncelikle normal ağ etkinliğine karışacak ve “tespitten kaçacak” şekilde tasarlandı.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)