Los hackers de OilRig (también conocidos como Earth Simnavaz, APT34, OilRig) son un grupo de ciberespionaje asociado con intereses “iraníes”.
Este grupo APT se centra principalmente en los sectores de energía, gobierno e infraestructura crítica.
Los investigadores de ciberseguridad de Trend Micro descubrieron recientemente que los piratas informáticos de OilRig están explotando activamente los servidores de Microsoft e\Exchange para robar información de inicio de sesión.
Se dirigen principalmente a los Emiratos Árabes Unidos y la región del Golfo con ataques cibernéticos avanzados. Sus tácticas avanzadas incluyen la introducción de nuevas puertas traseras dirigidas a servidores Microsoft Exchange para robar credenciales.
Los piratas informáticos de OilRig explotan los servidores de Microsoft Exchange
La cadena de ataque del grupo comienza cargando un shell web en un servidor vulnerable que permite RCE y manipulación de archivos.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
A continuación, utilizamos 'ngrok', una herramienta de monitoreo remoto para la persistencia y el movimiento lateral de la red.
Earth Simnavaz explota 'CVE-2024-30088' (vulnerabilidad del kernel de Windows) para realizar una 'escalada de privilegios' cargando código malicioso usando 'RunPE-In-Memory'.
Cadena de ataque (Fuente – Trend Micro)
Los actores de amenazas instalan “DLL de filtro de contraseñas” para capturar credenciales y robar datos a través de servidores Exchange comprometidos.
Según un informe de Trend Micro, el conjunto de herramientas de la empresa incluye un “cargador personalizado”, una “carga útil cifrada” y una “tarea programada” para lograr persistencia.
El grupo también utiliza ataques a la cadena de suministro y tiene vínculos con FOX Kitten, otro grupo APT asociado con campañas de ransomware.
Este enfoque integral ilustra las capacidades en evolución y la amenaza persistente que Earth Simnavaz representa para la “infraestructura crítica” y los “sistemas gubernamentales”.
Sus métodos de ataque incluyen explotar “servidores Exchange locales”, abusar de “políticas de filtro de contraseñas” eliminadas y aprovechar herramientas de “monitoreo y administración remota” (RMM) como ngrok. Esto incluye el robo de credenciales.
Registre DLL con LSA (Fuente: Trend Micro)
Este grupo implementa archivos DLL maliciosos como 'psgfilter.dll' para interceptar contraseñas de texto sin cifrar durante el proceso de validación 'LSA'.
Utilizan una puerta trasera personalizada llamada “STEALHOOK” para obtener credenciales robadas y enviar datos a través de archivos adjuntos de correo electrónico, a menudo enviados a través de “servidores Exchange gubernamentales legítimos”.
El grupo de ciberespionaje Earth Simnavaz también utiliza scripts de PowerShell, shells web y herramientas .NET para mantener la persistencia.
Sus técnicas incluyen: –
Operaciones de claves de registro. Aproveche la API de Exchange Web Services (EWS). Cree un túnel secreto para la comunicación C&C utilizando la herramienta ngrok.
El principal objetivo del grupo parece ser el “espionaje” y el “robo” de información gubernamental sensible. No sólo eso, su malware también está diseñado principalmente para “evadir la detección” mezclándose con la actividad normal de la red.
Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
OilRig Hackers Exploiting Microsoft Exchange Servers To Steal Login Details
