Le groupe de piratage parrainé par l’État iranien APT34, alias OilRig, a récemment intensifié ses activités avec de nouvelles campagnes ciblant le gouvernement et les entités d’infrastructures critiques aux Émirats arabes Unis et dans la région du Golfe.
Dans ces attaques, repérées par les chercheurs de Trend Micro, OilRig a déployé une nouvelle porte dérobée, ciblant les serveurs Microsoft Exchange pour voler des informations d’identification, et a également exploité la faille Windows CVE-2024-30088 pour élever leurs privilèges sur les appareils compromis.
Outre cette activité, Trend Micro a également établi un lien entre OilRig et FOX Kitten, un autre groupe d’APT basé en Iran impliqué dans des attaques de ransomware.
Dernière chaîne d’attaque de plate-forme pétrolière
Les attaques observées par Trend Micro commencent par l’exploitation d’un serveur Web vulnérable pour télécharger un shell Web, donnant aux attaquants la possibilité d’exécuter du code à distance et des commandes PowerShell.
Une fois le shell Web actif, OilRig l’exploite pour déployer des outils supplémentaires, y compris un composant conçu pour exploiter la faille Windows CVE-2024-30088.
CVE-2024-30088 est une vulnérabilité d’escalade de privilèges de gravité élevée que Microsoft a corrigée en juin 2024, permettant aux attaquants d’augmenter leurs privilèges au niveau du SYSTÈME, leur donnant un contrôle significatif sur les appareils compromis.
Microsoft a reconnu un exploit de validation de principe pour CVE-2024-30088 mais n’a pas encore marqué la faille comme activement exploitée sur son portail de sécurité.
Ensuite, OilRig enregistre une DLL de filtre de mot de passe pour intercepter les informations d’identification en clair lors des événements de changement de mot de passe, puis télécharge et installe l’outil de surveillance et de gestion à distance « ngrok », utilisé pour les communications furtives via des tunnels sécurisés.
Une autre nouvelle tactique des auteurs de menaces est l’exploitation de serveurs Microsoft Exchange sur site pour voler des informations d’identification et exfiltrer des données sensibles via un trafic de messagerie légitime difficile à détecter.
L’exfiltration est facilitée par une nouvelle porte dérobée nommée « Crochet d’acier », tandis que Trend Micro affirme que l’infrastructure gouvernementale est souvent utilisée comme point de pivot pour rendre le processus légitime.
« L’objectif principal de cette étape est de capturer les mots de passe volés et de les transmettre aux attaquants sous forme de pièces jointes à un e-mail », explique Trend Micro dans le rapport.
« De plus, nous avons observé que les auteurs de menaces exploitent des comptes légitimes avec des mots de passe volés pour acheminer ces courriels via des serveurs d’échange gouvernementaux. »
TrendMicro dit qu’il existe des similitudes de code entre StealHook et backdoors OilRig utilisés dans les campagnes précédentes, comme Karkoff, de sorte que le dernier malware semble être une étape évolutive plutôt qu’une nouvelle création à partir de zéro.
De plus, ce n’est pas la première fois que Oil Rig utilise des serveurs Microsoft Exchange comme composant actif de ses attaques. Il y a près d’un an, Symantec a signalé qu’APT 34 avait installé une porte dérobée PowerShell baptisée « PowerExchange » sur des serveurs Exchange sur site capables de recevoir et d’exécuter des commandes par courrier électronique.
L’acteur de la menace reste très actif dans la région du Moyen-Orient, et son affiliation avec FOX Kitten, bien que peu claire pour le moment, est inquiétante pour le potentiel d’ajout de ransomwares à son arsenal d’attaques.
Étant donné que la plupart des entités ciblées appartiennent au secteur de l’énergie, selon Trend Micro, des perturbations opérationnelles dans ces organisations pourraient avoir de graves répercussions sur de nombreuses personnes.