[1]CVE202430088 遭到攻击 OilRig 瞄准 Windows 内核漏洞-小百科

小百科,大世界
OilRig（又称 APT34 或 Helix Kitten）以针对中东地区关键部门的网络间谍活动而闻名，它利用漏洞和先进技术实现其地缘政治目标，行动精准。 Picus Labs 在其最新报告中深入探讨了这一伊朗国家支持的行为体的行动。报告重点介绍了 OilRig 的演变过程、历史活动及其使用的先进战术。 OilRig 于 2016 年出现在网络威胁领域，但也有证据表明其早期活动。该组织最初通过鱼叉式网络钓鱼活动和部署 Helminth 后门以沙特阿拉伯的组织为目标，并很快显示出长期存在和隐蔽的能力。报告指出：“OilRig 通过战略性地使用 Helminth 后门而崭露头角，这是一种先进的恶意软件工具，能够隐蔽、持续地访问目标系统。” 多年来，OilRig 已将其触角伸向整个中东地区，以政府实体、能源部门和技术提供商为目标。其工具也在不断演变，从早期的 Helminth 恶意软件到 QUADAGENT 和 ISMAgent 等更复杂的有效载荷。这些后门加上 Invoke-Obfuscation 等开源混淆工具，反映了该组织的适应能力和技术专长。报告概述了 OilRig 如何将零日漏洞和最近披露的漏洞纳入其武器库，包括利用 CVE-2024-30088 漏洞。这个 Windows 内核漏洞允许 OilRig 获得系统级访问权限，使其能够部署定制的 STEALHOOK 后门，进行长时间监控和数据外渗。 OilRig 还针对供应链，利用技术提供商内被入侵的账户发起更广泛的攻击。2018 年的 QUADAGENT 活动就体现了这一策略，它利用基于 PowerShell 的恶意软件渗透政府和企业网络，而且往往不被发现。 Picus Labs 通过 MITRE ATT&CK 框架详细概述了 OilRig 的战术、技术和程序（TTPs）。其中包括：初始访问： OilRig 擅长鱼叉式网络钓鱼活动，通常伪装成 LinkedIn 等平台上的可信联系人来获取凭证。执行：该组织依靠 PowerShell 和其他脚本工具在被入侵环境中隐蔽执行命令。持久性：定时任务和混淆有效载荷可确保持续访问，即使在部分修复工作完成后也是如此。防御规避：高级混淆技术（包括 base64 编码和调用混淆）允许 OilRig 绕过检测系统。凭证访问： Mimikatz 和 LaZagne 等工具可从密码存储和内存转储中提取明文凭证。渗透： OilRig 采用 FTP 和 DNS 隧道等替代协议提取敏感数据，同时避开监控系统。 Picus Labs 的报告全面概述了 OilRig 的 TTP，并将其映射到 MITRE ATT&CK 框架。这一详细分析为寻求抵御这一持续性威胁的组织提供了宝贵的见解。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/303035 安全客 - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

OilRig（又称 APT34 或 Helix Kitten）以针对中东地区关键部门的网络间谍活动而闻名，它利用漏洞和先进技术实现其地缘政治目标，行动精准。

Picus Labs 在其最新报告中深入探讨了这一伊朗国家支持的行为体的行动。报告重点介绍了 OilRig 的演变过程、历史活动及其使用的先进战术。

OilRig 于 2016 年出现在网络威胁领域，但也有证据表明其早期活动。该组织最初通过鱼叉式网络钓鱼活动和部署 Helminth 后门以沙特阿拉伯的组织为目标，并很快显示出长期存在和隐蔽的能力。报告指出：“OilRig 通过战略性地使用 Helminth 后门而崭露头角，这是一种先进的恶意软件工具，能够隐蔽、持续地访问目标系统。”

多年来，OilRig 已将其触角伸向整个中东地区，以政府实体、能源部门和技术提供商为目标。其工具也在不断演变，从早期的 Helminth 恶意软件到 QUADAGENT 和 ISMAgent 等更复杂的有效载荷。这些后门加上 Invoke-Obfuscation 等开源混淆工具，反映了该组织的适应能力和技术专长。

报告概述了 OilRig 如何将零日漏洞和最近披露的漏洞纳入其武器库，包括利用 CVE-2024-30088 漏洞。这个 Windows 内核漏洞允许 OilRig 获得系统级访问权限，使其能够部署定制的 STEALHOOK 后门，进行长时间监控和数据外渗。

OilRig 还针对供应链，利用技术提供商内被入侵的账户发起更广泛的攻击。2018 年的 QUADAGENT 活动就体现了这一策略，它利用基于 PowerShell 的恶意软件渗透政府和企业网络，而且往往不被发现。

Picus Labs 通过 MITRE ATT&CK 框架详细概述了 OilRig 的战术、技术和程序（TTPs）。其中包括：

初始访问： OilRig 擅长鱼叉式网络钓鱼活动，通常伪装成 LinkedIn 等平台上的可信联系人来获取凭证。
执行：该组织依靠 PowerShell 和其他脚本工具在被入侵环境中隐蔽执行命令。
持久性：定时任务和混淆有效载荷可确保持续访问，即使在部分修复工作完成后也是如此。
防御规避：高级混淆技术（包括 base64 编码和调用混淆）允许 OilRig 绕过检测系统。
凭证访问： Mimikatz 和 LaZagne 等工具可从密码存储和内存转储中提取明文凭证。
渗透： OilRig 采用 FTP 和 DNS 隧道等替代协议提取敏感数据，同时避开监控系统。

Picus Labs 的报告全面概述了 OilRig 的 TTP，并将其映射到 MITRE ATT&CK 框架。这一详细分析为寻求抵御这一持续性威胁的组织提供了宝贵的见解。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/303035

安全客 - 有思想的安全新媒体

[来源: 安全客]

[1]CVE202430088 遭到攻击 OilRig 瞄准 Windows 内核漏洞 繁體

[1]CVE202430088 遭到攻击 OilRig 瞄准 Windows 内核漏洞 ^繁體