威胁升级!伊朗APT34组织针对阿联酋及海湾关键基础设施发动攻击
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
伊朗黑客组织APT34(OilRig)近期升级攻击,针对阿联酋及海湾地区的政府和关键基础设施。通过微软Exchange服务器窃取凭证,并利用Windows漏洞CVE-2024-30088提升权限。趋势科技发现其使用新后门StealHook窃取密码,可能影响能源领域。
🎯
关键要点
- 伊朗黑客组织APT34(OilRig)近期升级攻击,目标为阿联酋及海湾地区的政府和关键基础设施。
- APT34通过微软Exchange服务器窃取凭证,并利用Windows漏洞CVE-2024-30088提升权限。
- 趋势科技发现APT34使用新后门StealHook窃取密码,可能影响能源领域。
- 攻击链首先利用有漏洞的Web服务器上传Web shell,执行远程代码和PowerShell命令。
- CVE-2024-30088是一个高严重性权限升级漏洞,攻击者可将权限提升至SYSTEM级别。
- APT34注册密码过滤DLL以拦截明文凭证,并使用ngrok进行隐蔽通信。
- StealHook后门与APT34过去使用的后门存在代码相似性,显示出恶意软件的进化。
- APT34曾在内部Exchange服务器上安装PowerExchange后门,能够接收和执行命令。
- APT34与FOX Kitten的关系尚不明确,但可能将勒索软件纳入其攻击工具库。
- 由于大多数目标实体在能源领域,APT34的攻击可能导致广泛影响。
➡️
