En medio de un aumento en los esfuerzos de ciberespionaje por parte de los grupos APT norcoreanos dirigidos al sudeste asiático bajo la campaña SHROUDED#SLEEP, los expertos en ciberseguridad están dando la alarma sobre una ola paralela de ataques orquestados por piratas informáticos afiliados a Irán. Esta campaña recién descubierta se centra en espiar a organizaciones en los Emiratos Árabes Unidos y las regiones del Golfo. Conocido como Earth Simnavaz APT (también conocido como APT34 o OilRig), este grupo implementa líneas de puerta trasera avanzadas para abusar de los servidores de Microsoft Exchange y robar credenciales de inicio de sesión. Además, están explotando una nueva vulnerabilidad crítica del kernel de Windows (CVE-2024-30088) para escalar privilegios, mejorando aún más su capacidad para infiltrarse en los sistemas sin ser detectados. Detectar ataques Earth Simnavaz (también conocido como APT34) En 2024, los grupos APT de varias regiones globales, como China, Corea del Norte, Irán y Rusia, mostraron un marcado aumento en capacidades ofensivas dinámicas e innovadoras, creando desafíos sustanciales para el panorama global de ciberseguridad. Para detectar posibles actividades maliciosas en las primeras etapas, los ciberdefensores pueden confiar en SOC Prime Platform para una ciberdefensa colectiva que sirve a la biblioteca de reglas de detección e inteligencia de amenazas procesable más grande del mundo. Presione el botón Explorar detecciones a continuación para explorar una pila seleccionada de reglas de Sigma que abordan la campaña más reciente de Earth Simnavaz contra los Emiratos Árabes Unidos y las regiones del Golfo. Las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están asignadas al marco MITRE ATT&CK® para facilitar la investigación de amenazas. Además, las detecciones se enriquecen con metadatos extensos, que incluyen referencias de CTI, cronogramas de ataques, recomendaciones de clasificación y auditoría, y más. Explorar detecciones Además, para analizar retrospectivamente las actividades de Earth Simnavaz (APT34) y mantenerse actualizado sobre la evolución de los TTP del grupo, los ciberdefensores pueden acceder a un conjunto más amplio de reglas de detección. Explore el mercado de detección de amenazas utilizando la etiqueta «APT34» o utilice el siguiente enlace para explorar la colección de reglas APT34 directamente. Análisis de ataque de Earth Simnavaz, también conocido como APT34. Se ha observado que el grupo de hackers respaldado por la nación iraní, rastreado como Earth Simnavaz, también conocido como APT34 y OilRig, aprovecha CVE-2024-30088, una vulnerabilidad de elevación de privilegios del kernel de Windows previamente parcheada durante una operación de ciberespionaje contra los Emiratos Árabes Unidos y la amplia región del Golfo. Trend Micro ha investigado las últimas actividades de Earth Simnavaz y ha revelado nuevos detalles sobre la evolución del conjunto de herramientas ofensivas del grupo y la amenaza apremiante que presenta para las organizaciones de infraestructura crítica en los Emiratos Árabes Unidos. Según los investigadores, los ciberataques vinculados al grupo APT34 han aumentado significativamente y se centran en sectores gubernamentales de Oriente Medio. En los últimos ataques, Earth Simnavaz emplea una novedosa puerta trasera avanzada, que apunta a servidores locales de Microsoft Exchange para robar credenciales confidenciales, incluidas cuentas y contraseñas. El grupo también continúa explotando la DLL de la política de filtro de contraseñas eliminadas, lo que les permite extraer contraseñas de texto sin formato, destacando sus tácticas en evolución y las amenazas continuas a las organizaciones. El conjunto de herramientas del adversario que avanza también implica que el grupo experimente con la herramienta RMM ngrok, que permite a los atacantes canalizar el tráfico y mantener el control sobre los sistemas comprometidos. Además, Earth Simnavaz aprovecha una combinación de herramientas .NET personalizadas, scripts de PowerShell y malware basado en IIS para camuflar sus actividades dentro del tráfico normal de la red, evadiendo los métodos de detección tradicionales. En la etapa de ataque inicial, los adversarios utilizan un servidor web vulnerable como arma para implementar un shell web, seguido de utilizar la utilidad ngrok para mantener la persistencia y moverse lateralmente dentro de la red. Luego, los atacantes aprovechan la falla de escalada de privilegios, CVE-2024-30088, para entregar la puerta trasera STEALHOOK, que filtra los datos robados a través del servidor Exchange como archivos adjuntos de correo electrónico enviados a una dirección controlada por el atacante. A medida que APT34 aumenta su enfoque en Medio Oriente, específicamente apuntando a sectores gubernamentales en la región del Golfo para realizar ciberespionaje y robo de datos, mejorar las defensas contra las amenazas emergentes del grupo es crucial para las organizaciones en riesgo. Confíe en el conjunto completo de productos de SOC Prime para ingeniería de detección basada en IA, búsqueda automatizada de amenazas y detección avanzada de amenazas para preparar la postura de ciberseguridad de su organización para el futuro y, al mismo tiempo, optimizar la eficiencia de los recursos. URL de la publicación original: https://socprime.com/blog/earth-simnavaz-aka-apt34-attack-detection/Categoría y etiquetas: blog, últimas amenazas, APT, CVE, ciberataque, contenido de detección, Sigma, plataforma SOC Prime, Mercado de detección de amenazas, contenido de búsqueda de amenazas, vulnerabilidad: blog, últimas amenazas, APT, CVE, ciberataque, contenido de detección, Sigma, plataforma SOC Prime, mercado de detección de amenazas, contenido de búsqueda de amenazas, vulnerabilidad