Iran

イラン国家に支援されたハッキング・グループAPT34(別名OilRig)は、アラブ首長国連邦および湾岸地域の政府機関や重要インフラを標的とした新たなキャンペーンを展開し、最近その活動をエスカレートさせています。

トレンドマイクロのリサーチャーが発見したこれらの攻撃では、OilRigは、Microsoft Exchangeサーバを標的とした新しいバックドアを展開し、認証情報を盗み出すとともに、WindowsのCVE-2024-30088の欠陥を悪用して、侵害されたデバイスの特権を昇格させています。

この活動とは別に、トレンドマイクロは、OilRigと、ランサムウェア攻撃に関与するもう1つのイランベースのAPTグループであるFOX Kittenとの関連も明らかにしています。

最新のOilRig攻撃チェーン

トレンドマイクロが確認した攻撃は、脆弱なWebサーバを悪用してWebシェルをアップロードし、攻撃者にリモートコードとPowerShellコマンドを実行させることから始まります。

Webシェルがアクティブになると、OilRigはそれを利用して、WindowsのCVE-2024-30088の欠陥を悪用するように設計されたコンポーネントを含む、追加のツールを展開します。

CVE-2024-30088は、マイクロソフトが2024年6月に修正した高難易度の特権昇格の脆弱性で、攻撃者はSYSTEMレベルまで特権を昇格させることができ、侵害されたデバイスを大幅に制御できるようになります。

マイクロソフトは、CVE-2024-30088の概念実証のエクスプロイトを認めているが、同社のセキュリティポータル上では、この欠陥が積極的に悪用されているとはまだマークしていない。CISAもまた、「Known Exploited Vulnerability」カタログにおいて、この脆弱性が悪用されたことがあるとして報告していない。

次に、OilRig はパスワード変更イベント中に平文の認証情報を傍受するためのパスワード・フィルタ DLL を登録し、安全なトンネルを介したステルス通信に使用されるリモート監視・管理ツール「ngrok」をダウンロードしてインストールする。

脅威行為者によるもう1つの新しい手口は、オンプレミスのMicrosoft Exchangeサーバーを悪用して認証情報を盗み出し、検出が困難な正規の電子メールトラフィックを介して機密データを流出させることです。

Backdoor stealing passwords from Exchange
Exchange からパスワードを盗むバックドア
ソースはこちら:トレンドマイクロ

StealHook」と名付けられた新しいバックドアによって、この流出は促進されます。トレンドマイクロによると、このプロセスを合法的に見せるための軸として、政府のインフラが使用されることが多いとのことです。

「この段階の主な目的は、盗んだパスワードをキャプチャし、電子メールの添付ファイルとして攻撃者に送信することです

「さらに、脅威者は盗んだパスワードで正当なアカウントを活用し、これらの電子メールを政府のExchangeサーバー経由で送信していることが確認されています。

OilRig's latest attack chain
OilRigの最新の攻撃チェーン
ソースはこちら:トレンドマイクロ

TrendMicroによると、StealHookとOilRigがKarkoffのような過去のキャンペーンで使用したバックドアとの間にはコードの類似性があり、最新のマルウェアはゼロから新規に作成されたというよりは、進化したステップであるようだ。

また、OilRigがMicrosoft Exchangeサーバーを攻撃のアクティブ・コンポーネントとして使用するのは今回が初めてではない。ほぼ1年前、シマンテックは、APT34が「PowerExchange」と名付けられたPowerShellバックドアをオンプレミスのExchangeサーバーにインストールし、電子メール経由でコマンドを受信・実行できるようにしたと報告した

この脅威勢力は中東地域で非常に活発な活動を続けており、FOX Kittenとの関係は現時点では不明だが、攻撃手段にランサムウェアを追加する可能性があることが懸念される。

トレンドマイクロによると、標的となった企業の多くはエネルギー部門に属しているため、これらの組織における業務の混乱は多くの人々に深刻な影響を与える可能性がある。