Хакеры OilRig целятся в энергетический сектор Персидского залива
Иранская хакерская группа OilRig (также известная как APT43 или Cobalt Gipsy) активизировала атаки на организации и персональные системы в Объединённых Арабских Эмиратах и странах Персидского залива.
Эксперты по кибербезопасности из Trend Micro сообщили , что злоумышленники охотятся за учетными данными для доступа к серверам, которые затем используют для установки вредоносного кода.
Атаки нацелены на уязвимые серверы, где хакеры разворачивают веб-шеллы, позволяющие выполнять PowerShell-скрипты и устанавливать вредоносные программы. Одним из ключевых элементов атаки является использование уязвимости CVE-2024-30088 , которая была исправлена Microsoft в июне 2024 года. Уязвимость классифицирована как критическая с базовым рейтингом 7.0 и относится к уязвимостям повышения привилегий в ядре Windows.
Вредоносная программа, известная как STEALHOOK, играет важную роль в этих атаках. Этот вредоносный код собирает и передает данные на сервер команд и управления (C2), контролируемый хакерами. Особенностью STEALHOOK является способность маскировать украденную информацию под легитимные данные и отправлять её через серверы Microsoft Exchange, что затрудняет её обнаружение.
Эксперты подчеркивают, что OilRig — государственная хакерская группа, поддерживаемая Ираном. Она остаётся одной из наиболее активных групп в регионе Ближнего Востока и, вероятно, связана с другой иранской группировкой, FOX Kitten, которая ранее была замечена в атаках с применением программ-вымогателей. Большая часть атак нацелена на энергетический сектор, что вызывает серьёзные опасения, поскольку любые нарушения в работе этих предприятий могут нанести значительный ущерб не только организациям, но и населению в целом.
Несмотря на наличие доказательств использования уязвимости CVE-2024-30088, Управление по кибербезопасности и инфраструктурной безопасности США (CISA) пока не включило её в каталог известных эксплуатируемых уязвимостей.