OilRig: spionaggio tramite vulnerabilità del Kernel di Windows

OilRig, un gruppo di minaccia cibernetica legato all’Iran, ha recentemente attirato l’attenzione per la sua capacità di sfruttare vulnerabilità critiche nel kernel di Windows. Questo articolo esplora le tattiche utilizzate da OilRig, le vulnerabilità sfruttate e fornisce suggerimenti per migliorare la sicurezza cibernetica.

Background su OilRig

OilRig, noto anche come Earth Simnavaz, APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm e Helix Kitten, è un gruppo di minaccia cibernetica attivo dal 2014. Ha già dimostrato la sua capacità di attaccare entità nel settore energetico e infrastrutture critiche, con obiettivi allineati con quelli del governo iraniano.

Vulnerabilità Kernel di Windows

Il gruppo ha recentemente sfruttato la vulnerabilità CVE-2024-30088, una vulnerabilità di escalation di privilegi nel kernel di Windows. Questa vulnerabilità permette agli attaccanti di ottenere privilegi di sistema, consentendo loro di controllare completamente le macchine infette.

Metodologia di Attacco

La catena di attacco di OilRig è composta da diverse tecniche sofisticate:

• Accesso Iniziale: Gli attaccanti infiltrano server web vulnerabili per depositare un web shell.
• Persistenza: Utilizzano ngrok per mantenere l’accesso e muoversi lateralmente all’interno della rete.
• Escalazione di Privilegi: Sfruttano CVE-2024-30088 per ottenere privilegi di sistema e depositare un backdoor chiamato STEALHOOK.
• Estrazione dei Dati: I dati raccolti vengono trasmessi via server Microsoft Exchange compromessi a un indirizzo di posta elettronica controllato dagli attaccanti.

Strumenti e Tecniche Utilizzate

OilRig utilizza una varietà di strumenti e tecniche per raggiungere i suoi obiettivi:

• Backdoor STEALHOOK: Questo implant è responsabile dell’estrazione dei dati sensibili.
• psgfilter.dll: Un DLL di politica di filtro delle password utilizzato per estrarre credenziali da utenti del dominio e account locali.
• Password Plenamente in Testo: Gli attaccanti lavorano con password in testo per accedere e depositare strumenti remotamente, assicurandosi che queste siano crittografate prima dell’estrazione.

Implicazioni per la Sicurezza Cibernetica

Le attività di OilRig evidenziano la necessità di misure di sicurezza cibernetica rafforzate, specialmente in regioni con tensioni geopolitiche significative. Le organizzazioni devono rimanere vigili e proattive nel patchare vulnerabilità e monitorare attività insolite all’interno delle loro reti.

Suggerimenti per la Sicurezza Cibernetica

Per proteggersi da attacchi simili, è essenziale adottare le seguenti misure:

1. Patchare Vulnerabilità: Assicurarsi di patchare tutte le vulnerabilità appena scoperte, come CVE-2024-30088, il più presto possibile.
2. Monitorare Attività: Implementare sistemi di monitoraggio avanzati per rilevare attività insolite all’interno delle reti.
3. Utilizzare Antivirus e EDR: Utilizzare antivirus e sistemi di risposta alle minacce endpoint (EDR) per rilevare e bloccare attività maliziose.
4. Implementare Politiche di Sicurezza: Creare politiche di sicurezza rigorose, incluse politiche di accesso e autorizzazione, per limitare l’accesso agli account sensibili.
5. Educazione e Formazione: Offrire formazione continua ai dipendenti per migliorare la loro consapevolezza della sicurezza cibernetica e le loro capacità di risposta alle minacce.
6. Utilizzare Strumenti di Obfuscation: Utilizzare strumenti di obfuscation per proteggere i propri script e file da analisi malizie.
7. Implementare Backups: Eseguire regolarmente backup dei dati importanti per poter ripristinare facilmente in caso di un attacco di ransomware o di perdita di dati.

Le attività di OilRig rappresentano una minaccia significativa per la sicurezza cibernetica, specialmente in regioni geopoliticamente sensibili. È essenziale che le organizzazioni rimangano vigili e proattive nel patchare vulnerabilità e monitorare attività insolite all’interno delle loro reti. Adottando le misure di sicurezza indicate, è possibile ridurre significativamente il rischio di attacchi simili.


Fonte: https://cybersecuritynews.com/oilrig-hackers-windows-kernel-0-day