Иранские хакеры начали атаковать ОАЭ новыми методами

Об этих атаках рассказали исследователи безопасности из компании Trend Micro. Эксперты говорят, что хакерская группа APT34 из Ирана, известная как OilRig, развернула новый бэкдор, который направлен на серверы Microsoft Exchange. Цель атак стандартная — кража учётных данных, для чего хакеры использовали дефект Windows CVE-2024-30088, чтобы повысить свои привилегии на взломанных устройствах.

Злоумышленники работают «с двух флангов»: исследователи из Trend Micro установили связь между OilRig и FOX Kitten, другой иранской группой, участвующей в атаках с использованием вымогательского ПО.

К тому же атаки, замеченные Trend Micro, начинаются с использования уязвимого сервера для загрузки веб-оболочки, что даёт хакерам возможность удалённого выполнения кода и команд PowerShell. После активации оболочки киберпреступники используют программную среду для развёртывания дополнительных инструментов, в том числе компонент, который предназначен для эксплуатации дефекта Windows CVE-2024-30088.

Как пишут исследователи, CVE-2024-30088 — уязвимость с высоким уровнем повышения привилегий, которую Microsoft устранила в июне 2024 года. Вероятно, брешь в защите операционной системы всё ещё позволяет злоумышленникам повысить свои привилегии до уровня SYSTEM, что даёт значительный контроль над взломанными устройствами.