Tehlikeli "OilRig" kötü amaçlı yazılımının hedefindeki Orta Doğu ülkeleri
Uzmanlar, İranlı tehdit aktörlerinin, Birleşik Arap Emirlikleri ve daha geniş Körfez bölgesindeki insanların örgütlerine ve kişisel sistemlerine erişim sağlamalarını sağlayacak oturum açma bilgilerinin peşinde olduğu konusunda uyardı.
Siber güvenlik araştırmacıları Trend Micro'nun bir raporu , OilRig (AKA APT43 veya Cobalt Gipsy) adlı bir grubun web kabukları dağıtmak için kullanabilecekleri savunmasız sunucuların peşine düştüğünü iddia ediyor. Bunlar, sırayla PowerShell'i çalıştırmalarına ve sonuç olarak sunuculara kötü amaçlı yazılım dağıtmalarına olanak sağlıyor.
Kötü amaçlı yazılım daha sonra ayrıcalıkları yükseltmek ve dolandırıcıların hassas bilgileri sızdırmasına izin vermek için CVE-2024-30088 olarak izlenen bir güvenlik açığını kötüye kullanır . Microsoft tarafından Haziran 2024'te yamalanan bu güvenlik açığı, bir Windows Kernel Ayrıcalık Yükseltme kusuru olarak tanımlanıyor ve 7.0 (yüksek) temel puana sahip.
Fidye yazılımı oyuncularıyla bağlantı
Bu saldırılarda kullanılan kötü amaçlı yazılımın adı STEALHOOK'tur. Temel olarak bir bilgi hırsızı olarak hizmet eder, çünkü amacı saldırganlar tarafından işletilen bir komuta ve kontrol (C2) sunucusuna veri sızdırmaktır. STEALHOOK'un ilginç yanı, bu bilgileri meşru olanlarla harmanlaması ve bir Exchange sunucusu aracılığıyla göndermesidir.
BleepingComputer, OilRig'in devlet destekli bir aktör olduğunu, grubun Orta Doğu bölgesinde "oldukça aktif" olduğunu ve fidye yazılımı saldırılarına karışan İran merkezli bir diğer APT grubu olan FOX Kitten ile bağlantılı gibi göründüğünü belirtiyor.
Trend Micro, hedeflerin büyük çoğunluğunun enerji sektöründe çalıştığını belirterek, bu firmaların faaliyetlerinde yaşanacak herhangi bir aksamanın daha geniş nüfusu büyük ölçüde etkileyebileceği uyarısında bulundu.
Kötüye kullanıma dair kanıtlar olmasına rağmen, ABD Siber Güvenlik ve Altyapı Ajansı (CISA), CVE-2024-30088'i Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna henüz eklemedi.
TechRadar Pro'dan daha fazlası
- İranlı bilgisayar korsanları, VPN ve güvenlik duvarı araçları aracılığıyla şirketlere girmek için fidye yazılımı çeteleriyle iş birliği yapıyor
- İşte günümüzün en iyi güvenlik duvarlarının listesi
- Bunlar şu anda en iyi uç nokta koruma araçlarıdır