تم رصد المهاجم الإيراني المعروف باسم OilRig وهو يستغل ثغرة تصعيد الامتيازات التي تم إصلاحها مؤخرًا في نواة ويندوز كجزء من حملة تجسس إلكتروني موسعة تستهدف دولة الإمارات العربية المتحدة والمنطقة الخليجية بشكل عام. وقد أثارت هذه العملية المتطورة قلقًا كبيرًا بين خبراء الأمن السيبراني والوكالات الحكومية بسبب تأثيرها المحتمل على الأمن القومي والبنية التحتية الحيوية. وفقًا لتحليل أجراه باحثو شركة تريند مايكرو، بما في ذلك محمد فهمي، وبها ياماني، وأحمد كمال، ونيك داي، تستخدم المجموعة تكتيكات متقدمة لتنفيذ هجماتها. تشمل أساليبها نشر باب خلفي يستخدم خوادم Microsoft Exchange لسرقة بيانات الاعتماد واستغلال الثغرات مثل CVE-2024-30088 لتصعيد الامتيازات. وهذه الثغرة، التي تم إصلاحها من قبل مايكروسوفت في يونيو 2024، تسمح للمهاجمين بالحصول على امتيازات النظام من خلال استغلال حالة سباق.
تبدأ سلسلة الهجمات التي ينفذها OilRig بالحصول على الوصول الأولي من خلال خادم ويب ضعيف. يقوم المهاجمون بنشر ويب شيل لتسهيل تسللهم، ثم يقومون بتثبيت أداة الإدارة عن بُعد ngrok. تساعد هذه الأداة في الحفاظ على استمرارية وجودهم والتنقل عبر نقاط نهاية أخرى داخل الشبكة المخترقة. تلعب استغلال ثغرة CVE-2024-30088 دورًا حاسمًا في توصيل الباب الخلفي المعروف باسم STEALHOOK، والذي يُستخدم لنقل البيانات المسروقة إلى عنوان بريد إلكتروني يتحكم فيه المهاجمون على شكل مرفقات. تتضمن إحدى التقنيات المقلقة التي تم رصدها في هذه الموجة الأخيرة من الهجمات إساءة استخدام الامتيازات المرتفعة لحقن ملف DLL الخاص بتصفية كلمات المرور (psgfilter.dll). يتيح هذا للمهاجم استخراج بيانات اعتماد حساسة من المستخدمين في النطاق عبر وحدات تحكم النطاق أو الحسابات المحلية على الأجهزة المحلية. وأشار الباحثون إلى أن “الممثل الخبيث اعتنى جيدًا في التعامل مع كلمات المرور النصية عند تنفيذ وظائف تصفية كلمات المرور.” وهذا يسلط الضوء على نهج المهاجم الدقيق في استغلال الثغرات لتحقيق أقصى استفادة.
تعكس أنشطة OilRig استراتيجية مستهدفة تهدف إلى استغلال الثغرات داخل البنى التحتية الرئيسية في المناطق الحساسة جغرافيًا. وقد ذكر الباحثون: “تشير أنشطتهم الأخيرة إلى أن Earth Simnavaz تركز على استغلال الثغرات في البنى التحتية الرئيسية.” تسعى المجموعة إلى إنشاء موطئ قدم دائم داخل المنظمات المخترقة، بحيث يمكن استخدام هذه المنظمات لإطلاق هجمات على أهداف إضافية. تمت ملاحظة استخدام psgfilter.dll سابقًا في ديسمبر 2022، مرتبطًا بحملة استهدفت منظمات في الشرق الأوسط باستخدام باب خلفي آخر يُعرف باسم MrPerfectionManager. تؤكد هذه الاستمرارية في الأساليب التهديد المستمر الذي تمثله OilRig ومشابهتها في المنطقة.
