Earth Simnavaz Exploits Windows Kernel Flaw CVE-2024-30088 in Attacks on Critical Infrastructure
2024/10/14 SecurityOnline — Trend Micro の研究者たちが公表したのは、脅威グループ Earth Simnavaz (別名 APT34/OilRig) が実施したとされる、一連の高度なサイバー攻撃に関する情報である。このイラン由来のサイバースパイ・グループは、アラブ首長国連邦 (UAE) などの湾岸地域の政府機関や重要なインフラを積極的に標的にしており、高度な技術を駆使して不正アクセスを行い、機密情報を盗み出している。
Trend Micro のレポートが強調するのは、Earth Simnavaz によるサイバー攻撃の大幅な増加であり、主にエネルギー部門における組織を、特に石油とガスに携わる組織を標的にしていることだ。研究者たちは、「Earth Simnavaz は、地政学的にセンシティブな地域における、重要インフラの脆弱性の悪用に重点を置いている。このグループは、侵害した環境に永続的な足場を築き、将来の攻撃のために、それらの組織を武器化することを目指している」と述べている。
Earth Simnavaz が用いる主要な戦術には、Microsoft Exchange サーバを介した高度なバックドアの展開がある。このバックドアは、アカウント・パスワードなどの機密資格情報を盗み出し、それを攻撃者に中継するように設計されている。このレポートでは、「この新しいバックドアは、オンプレミスの Microsoft Exchange サーバを介して、アカウントやパスワードなどの機密資格情報を容易に盗み出すためのものだ」と指摘されている。
さらに、このグループは、Windows カーネルの脆弱性 CVE-2024-30088 を悪用して、権限を昇格させていることが確認されている。この脆弱性を、悪意のツール・キットに統合する Earth Simnavaz は、攻撃の有効性をステルス性を維持している。
Earth Simnavaz は、パスワード・フィルター・ポリシーを悪用して、資格情報の窃取機能を改良している。この方法により攻撃者は、侵害したドメイン・コントローラーまたはローカル・マシンから、プレーンテキストのパスワードを傍受/収集している。Trend Micro のレポートが詳述するように、この脅威アクターは、侵害したマシンからパスワードをキャプチャして収集しているが、それらが変更された後も追跡を成功させているという。このレベルのアクセスにより、標的とするシステムを長期的に制御している。
Image: Trend Micro
最新の攻撃で Earth Simnavaz は、攻撃者のためツールキットをアップグレードし、ローカル・マシンからインターネットへの安全な接続のためのトンネルを作成する、正規の RMM (remote monitoring and management) ツール “ngrok” を追加している。正規のツールである “ngrok” は、ファイアウォールやネットワーク・セキュリティをバイパスするために悪用されており、Earth Simnavaz は検出を回避しながら、侵害したサーバと C2 サーバの通信を確立している。
ネットワークに侵入した Earth Simnavaz は、さらに Web シェルも活用して脆弱なシステムを制御している。これらの Web シェルにより、攻撃者は PowerShell コマンドを実行し、ファイルのアップロード/ダウンロードを達成し、最終的にはネットワーク内でマルウェアを拡散していく。
Earth Simnavaz の活動が浮き彫りにするのは、中東の国家支援グループによるサイバー脅威の増大である。このレポートが強調するのは、「地政学的な緊張が、この急増の背景にあると思われる。中東および湾岸地域の政府部門は、これらの脅威を真剣に受け止める必要がある」という点である。このグループの主な目的は、スパイ活動と政府の機密情報の窃取であるとみられ、それは地域の国家安全保障と経済の安定に、大きな影響を及ぼす可能性を持つ。
イランの APT グループである Earth Simnavaz の動きが活性化しているとですが、イスラエルとヒズボラとの間で激化する戦闘を考えれば、こうなるだろうと思える動きです。よろしければ、ヒズボラで検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.