Іранські хакери почали атакувати інфраструктуру ОАЕ та регіону Перської затоки. Кібератаки переважно спрямовані на урядові організації та об’єкти критичної інфраструктури.

Про ці атаки розповіли дослідники безпеки з компанії Trend Micro. Експерти кажуть, що хакерська група APT34 з Ірану, відома як OilRig, розгорнула новий бекдор, який спрямований на сервери Microsoft Exchange. Мета атак стандартна – крадіжка облікових даних, для чого хакери використовували дефект Windows CVE-2024-30088, щоб підвищити свої привілеї на зламаних пристроях.

Зловмисники працюють «з двох флангів»: дослідники з Trend Micro встановили зв’язок між OilRig і FOX Kitten, іншою іранською групою, що бере участь в атаках із використанням здирницького ПЗ.

До того ж атаки, помічені Trend Micro, починаються з використання вразливого сервера для завантаження веб-оболонки, що дає хакерам можливість віддаленого виконання коду і команд PowerShell. Після активації оболонки кіберзлочинці використовують програмне середовище для розгортання додаткових інструментів, зокрема компонент, який призначений для експлуатації дефекту Windows CVE-2024-30088.

Як пишуть дослідники, CVE-2024-30088 – уразливість із високим рівнем підвищення привілеїв, яку Microsoft усунула в червні 2024 року. Ймовірно, пролом у захисті операційної системи все ще дає змогу зловмисникам підвищити свої привілеї до рівня SYSTEM, що дає значний контроль над зламаними пристроями.

Источник: processer.media