OilRig exploite une faille du noyau Windows dans une campagne d’espionnage ciblant les Émirats arabes unis et le Golfe
L’acteur de menace iranien connu sous le nom d’ OilRig a été observé en train d’exploiter une faille d’escalade de privilèges désormais corrigée affectant le noyau Windows dans le cadre d’une campagne de cyberespionnage ciblant les Émirats arabes unis et la région plus large du Golfe.
« Le groupe utilise des tactiques sophistiquées qui incluent le déploiement d’une porte dérobée qui exploite les serveurs Microsoft Exchange pour le vol d’informations d’identification et l’exploitation de vulnérabilités comme CVE-2024-30088 pour l’élévation des privilèges », ont déclaré les chercheurs de Trend Micro Mohamed Fahmy, Bahaa Yamany, Ahmed Kamal et Nick Dai dans une analyse publiée vendredi.
La société de cybersécurité traque l’acteur de la menace sous le nom d’ Earth Simnavaz , également appelé APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anciennement EUROPIUM) et Helix Kitten.
Les chaînes d’attaque impliquent le déploiement d’un implant jusqu’alors non documenté doté de capacités permettant d’exfiltrer des informations d’identification via des serveurs Microsoft Exchange sur site, une tactique éprouvée adoptée par l’adversaire dans le passé, tout en incorporant des vulnérabilités récemment révélées à son arsenal d’exploitation.
CVE-2024-30088, corrigé par Microsoft en juin 2024, concerne un cas d’escalade de privilèges dans le noyau Windows qui pourrait être exploité pour obtenir des privilèges SYSTEM, en supposant que les attaquants puissent gagner une condition de course.
L’accès initial aux réseaux cibles est facilité par l’infiltration d’un serveur Web vulnérable pour déposer un shell Web, suivi de la suppression de l’outil de gestion à distance ngrok pour maintenir la persistance et passer à d’autres points de terminaison du réseau.
La vulnérabilité d’escalade de privilèges sert ensuite de canal pour livrer la porte dérobée, nom de code STEALHOOK, responsable de la transmission des données récoltées via le serveur Exchange à une adresse e-mail contrôlée par l’attaquant sous forme de pièces jointes.
Une technique notable employée par OilRig dans la dernière série d’attaques implique l’abus des privilèges élevés pour supprimer la DLL de la politique de filtrage des mots de passe (psgfilter.dll) afin d’extraire les informations d’identification sensibles des utilisateurs du domaine via des contrôleurs de domaine ou des comptes locaux sur des machines locales.
« L’acteur malveillant a pris grand soin de travailler avec les mots de passe en texte clair lors de la mise en œuvre des fonctions d’exportation du filtre de mots de passe », ont déclaré les chercheurs. « L’acteur malveillant a également utilisé des mots de passe en texte clair pour accéder aux outils et les déployer à distance. Les mots de passe en texte clair ont d’abord été chiffrés avant d’être exfiltrés lors de leur envoi sur les réseaux. »
Il convient de noter que l’utilisation de psgfilter.dll a été observée en décembre 2022 dans le cadre d’une campagne ciblant des organisations au Moyen-Orient à l’aide d’une autre porte dérobée baptisée MrPerfectionManager.
« Leur activité récente suggère que Earth Simnavaz se concentre sur l’exploitation abusive des vulnérabilités des infrastructures clés des régions géopolitiquement sensibles », ont noté les chercheurs. « Ils cherchent également à établir une présence durable dans les entités compromises, afin de pouvoir les utiliser comme armes pour lancer des attaques sur des cibles supplémentaires. »