El grupo de piratería informática patrocinado por el Estado iraní APT34, también conocido como OilRig, ha intensificado recientemente sus actividades con nuevas campañas dirigidas a entidades gubernamentales y de infraestructura crítica en los Emiratos Árabes Unidos y la región del Golfo. En estos ataques, detectados por investigadores de Trend Micro, OilRig implementó una novedosa puerta trasera dirigida a servidores Microsoft Exchange para robar credenciales y también aprovechó la falla de Windows CVE-2024-30088 para elevar sus privilegios en los dispositivos comprometidos. Además de la actividad, Trend Micro también ha establecido una conexión entre OilRig y FOX Kitten, otro grupo APT con sede en Irán involucrado en ataques de ransomware. Última cadena de ataques de OilRig Los ataques vistos por Trend Micro comienzan con la explotación de un servidor web vulnerable para cargar un shell web, dando a los atacantes la capacidad de ejecutar código remoto y comandos de PowerShell. Una vez que el web shell está activo, OilRig lo aprovecha para implementar herramientas adicionales, incluido un componente diseñado para explotar la falla CVE-2024-30088 de Windows. CVE-2024-30088 es una vulnerabilidad de escalada de privilegios de alta gravedad que Microsoft solucionó en junio de 2024, lo que permite a los atacantes escalar sus privilegios al nivel de SISTEMA, lo que les brinda un control significativo sobre los dispositivos comprometidos. Microsoft ha reconocido una vulnerabilidad de prueba de concepto para CVE-2024-30088, pero aún no ha marcado la falla como explotada activamente en su portal de seguridad. CISA tampoco lo ha informado como explotado previamente en su catálogo de vulnerabilidades explotadas conocidas. A continuación, OilRig registra una DLL de filtro de contraseñas para interceptar credenciales de texto plano durante eventos de cambio de contraseña y luego descarga e instala la herramienta de administración y monitoreo remoto ‘ngrok’, utilizada para comunicaciones sigilosas a través de túneles seguros. Otra nueva táctica de los actores de amenazas es la explotación de servidores locales de Microsoft Exchange para robar credenciales y filtrar datos confidenciales a través de tráfico de correo electrónico legítimo que es difícil de detectar. Robo de contraseñas por puerta trasera de Exchange Fuente: Trend Micro La exfiltración se ve facilitada por una nueva puerta trasera llamada ‘StealHook’, mientras que Trend Micro dice que la infraestructura gubernamental a menudo se utiliza como punto pivote para hacer que el proceso parezca legítimo. «El objetivo clave de esta etapa es capturar las contraseñas robadas y transmitirlas a los atacantes como archivos adjuntos de correo electrónico», explica Trend Micro en el informe. «Además, observamos que los actores de amenazas aprovechan cuentas legítimas con contraseñas robadas para enrutar estos correos electrónicos a través de servidores Exchange gubernamentales». La última cadena de ataque de OilRigFuente: Trend Micro TrendMicro dice que existen similitudes de código entre StealHook y las puertas traseras que OilRig utilizó en campañas anteriores, como Karkoff, por lo que el último malware parece ser un paso evolutivo en lugar de una creación novedosa desde cero. Además, esta no es la primera vez que OilRig utiliza servidores Microsoft Exchange como componente activo de sus ataques. Hace casi un año, Symantec informó que APT34 instaló una puerta trasera de PowerShell denominada ‘PowerExchange’ en servidores Exchange locales capaces de recibir y ejecutar comandos por correo electrónico. El actor de amenazas sigue siendo muy activo en la región de Medio Oriente y su afiliación con FOX Kitten, aunque no está clara en este momento, es preocupante por la posibilidad de agregar ransomware a su arsenal de ataques. Dado que la mayoría de las entidades objetivo pertenecen al sector energético, según Trend Micro, las interrupciones operativas en estas organizaciones podrían afectar gravemente a muchas personas. URL de la publicación original: https://www.bleepingcomputer.com/news/security/oilrig-hackers-now-exploit-windows-flaw-to-elevate-privileges/