Иранские хакеры атакуют инфраструктуру ОАЭ

Иранские хакеры атакуют инфраструктуру ОАЭ

15 октября 2024

Ксения Жукова

Специалисты по кибербезопасности из Trend Micro сообщили, что злоумышленники стремятся получить учетные данные для доступа к серверам, которые затем используются для установки вредоносного программного обеспечения.

Атаки направлены на уязвимые серверы, где хакеры внедряют веб-шеллы, позволяющие запускать PowerShell-скрипты и устанавливать вредоносные программы. Одним из основных аспектов атак является использование уязвимости CVE-2024-30088, которая была устранена Microsoft в июне 2024 года. Эта уязвимость считается критической с базовым рейтингом 7.0 и относится к уязвимостям повышения привилегий в ядре Windows.

Вредоносная программа, известная как STEALHOOK, играет важную роль в этих атаках. Этот вредоносный код собирает и передает данные на сервер команд и управления (C2), контролируемый хакерами. Особенностью STEALHOOK является способность маскировать украденную информацию под легитимные данные и отправлять её через серверы Microsoft Exchange, что затрудняет её обнаружение.

Эксперты подчеркивают, что OilRig — государственная хакерская группа, поддерживаемая Ираном. Она остаётся одной из наиболее активных групп в регионе Ближнего Востока и, вероятно, связана с другой иранской группировкой, FOX Kitten, которая ранее была замечена в атаках с применением программ-вымогателей. Большая часть атак нацелена на энергетический сектор, что вызывает серьёзные опасения, поскольку любые нарушения в работе этих предприятий могут нанести значительный ущерб не только организациям, но и населению в qdriqddiqueiqtkkmp целом.

Несмотря на наличие доказательств использования уязвимости CVE-2024-30088, Управление по кибербезопасности и инфраструктурной безопасности США (CISA) пока не включило её в каталог известных эксплуатируемых уязвимостей.