رزنیکا رادمهر

گزارش شرکت امنیت سایبری ترند میکرو (Trend Micro) مدعی شد گروه سایبری وابسته به ایران با نام OilRig، فعالیت‌های سایبری خود را علیه امارات متحده عربی و منطقه خلیج فارس تشدید کرده است.

سایت سکیوریتی ویک‌ نوشت: بر اساس گزارش مذکور، این گروه جاسوسی سایبری که با نام‌های APT34، Cobalt Gypsy، Earth Simnavaz و Helix Kitten  نیز شناخته می‌شود، از سال ۲۰۱۴ فعال است. این گروه به اهدافی در بخش‌های انرژی و دیگر زیرساخت‌های حیاتی حمله کرده و به طور کلی، اهدافی را دنبال می‌کند که با منافع دولت ایران همسو هستند.

طبق اعلام ترند میکرو «در ماه‌های اخیر، حملات سایبری این گروه APT که به نهادهای دولتی در امارات متحده عربی و منطقه خلیج فارس حمله می‌کند، به طور قابل‌توجهی افزایش یافته است.»

برای انجام عملیات جدید، این گروه، یک درب‌پشتی (بکدور) پیشرفته برای استخراج اعتبارنامه‌ها از طریق سرورهای مایکروسافت Exchange در محل نصب کرده است. علاوه بر این مشاهده شده گروهOilRig  از سیاست فیلتر رمز عبور برای استخراج پسوردهای متنی ساده سوءاستفاده می‌کند. این گروه همچنین از ابزار مانیتورینگ و مدیریت از راه دور Ngrok برای تونل‌سازی ترافیک و حفظ دسترسی و نیز از آسیب‌پذیری CVE-2024-30088، به عنوان یک باگ ارتقای سطح دسترسی در هسته ویندوز، بهره‌برداری می‌کند.

مایکروسافت، آسیب‌پذیری CVE-2024-30088 را در ماه ژوئن برطرف کرد. به نظر می‌رسد این، اولین گزارشی است که به سوءاستفاده از این نقص اشاره می‌کند. در زمان نگارش این گزارش، راهنمای این شرکت، به سوءاستفاده‌ واقعی از این آسیب‌پذیری اشاره نکرده اما ذکر کرده: «احتمال سوءاستفاده وجود دارد.»

شرکت امنیت سایبری Trend Micro توضیح داد: «نقطه ورود اولیه برای این حملات به وب‌شل (web shell) آپلودشده روی یک سرور وب آسیب‌پذیر باز می‌گردد. این وب‌شل نه تنها اجازه اجرای کدهای PowerShell را می‌دهد، بلکه به مهاجمان اجازه می‌دهد فایل‌هایی را به سرور، آپلود یا از آن دانلود کنند.»

پس از دسترسی به شبکه، این گروه، Ngrok را برای جابجایی جانبی به کار گرفته، کنترل‌کننده دامنه را به خطر انداخته و از CVE-2024-30088  برای ارتقای سطح دسترسی استفاده کرده است. همچنین یک DLL فیلتر رمز عبور را ثبت کرده و بکدور (درب‌پشتی) را برای استخراج اعتبارنامه‌ها مستقر کرده است.

گروه تهدید، همچنین با استفاده از اعتبارنامه‌های دامنه‌ای که به خطر افتاده‌اند، به سرور Exchange دسترسی پیدا کرده و داده‌ها را استخراج کرده است.

در این رابطه، شرکت امنیت سایبری Trend Micro اعلام کرد: «هدف اصلی این مرحله، دریافت رمزهای عبور سرقت‌شده و ارسال آنها به مهاجمان به ‌عنوان پیوست‌های ایمیل است. علاوه بر این، مشاهده کردیم مهاجمان از حساب‌های قانونی با رمزهای عبور سرقت‌شده استفاده می‌کنند تا این ایمیل‌ها را از طریق سرورهای Exchange دولتی ارسال کنند.»

همچنین درب‌پشتی مورد استفاده در این حملات که با بدافزارهای دیگر این گروه APT شباهت‌هایی دارد، نام‌‌های کاربری و رمزهای عبور را از یک فایل خاص دریافت، اطلاعات پیکربندی را از سرور ایمیل Exchange بازیابی و ایمیل‌ها را به یک آدرس هدف مشخص، ارسال می‌کند.

شرکت امنیت سایبری ترند میکرو اضافه کرد: «گروه Earth Simnavaz به استفاده از سازمان‌های به‌خطرافتاده برای انجام حملات زنجیره تامین علیه نهادهای دولتی دیگر معروف است. انتظار داشتیم این گروه با استفاده از حساب‌های سرقت‌شده، حملات فیشینگ جدید، علیه اهداف اضافی را آغاز کند.»

گفتنی است Trend Micro از شرکت‌های پیشگام امنیت سایبری است که در سال 1988، توسط یوگنی کسپرسکی، همسرش و استیو چنگ تاسیس شد.