Erkennung von Earth Simnavaz (alias APT34) Angriffen: Iranische Hacker nutzen Windows-Kernel-Schwachstelle, um die VAE und Golfregion anzugreifen
Inhaltsverzeichnis:
Angesichts eines Anstiegs der Cyber-Spionage-Bemühungen nordkoreanischer APT-Gruppen, die auf Südostasien abzielen im Rahmen der SHROUDED#SLEEP-Kampagne, schlagen Cybersicherheitsexperten Alarm über eine parallele Angriffswelle, die von iranisch affinierten Hackern orchestriert wird. Diese neu entdeckte Kampagne konzentriert sich auf das Ausspionieren von Organisationen in den VAE und Golfregionen. Bekannt als Earth Simnavaz APT (auch bekannt als APT34 oder OilRig), setzt diese Gruppe fortschrittliche Backdoor-Stämme ein, um Microsoft Exchange-Server zu missbrauchen und Anmeldeinformationen zu stehlen. Zusätzlich nutzen sie eine neue kritische Windows-Kernel-Schwachstelle (CVE-2024-30088) für Privilegieneskalation aus, um weiter in die Systeme unentdeckt einzudringen.
Erkennen Sie Earth Simnavaz (alias APT34) Angriffe
Im Jahr 2024 zeigten APT-Gruppen aus verschiedenen globalen Regionen, wie China, Nordkorea, Iran und Russland, eine deutlich erhöhte dynamische und innovative AngriffsÂÂfähigkeiten, was erhebliche Herausforderungen für das globale Cybersicherheitsumfeld schafft. Um potenziell bösartige Aktivitäten in den frühen Stadien zu erkennen, können Cyber-Verteidiger auf die SOC Prime Plattform für kollektive Cyber-Verteidigung zugreifen, welche die weltgrößte Bibliothek mit Erkennungsregeln und umsetzbaren Bedrohungsinformationen bietet.
Drücken Sie die Entdecken-Erkennungen -Taste unten, um einen kuratierten Stapel von Sigma-Regeln zu erkunden, die die jüngste Earth Simnavaz-Kampagne gegen die VAE und Golfregionen thematisieren. Die Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und an das MITRE ATT&CK®-Framework angepasst, um die Bedrohungsuntersuchung zu erleichtern. Zusätzlich sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffstimmenpläne, Triage- & Audit-Empfehlungen und mehr.
Darüber hinaus können Cyber-Verteidiger, um die Aktivitäten von Earth Simnavaz (APT34) rückblickend zu analysieren und über die sich entwickelnden TTPs der Gruppe auf dem Laufenden zu bleiben, auf ein breiteres Set von Erkennungsregeln zugreifen. Durchsuchen Sie den Threat Detection Marketplace mit dem „APT34“-Tag oder verwenden Sie den folgenden Link, um die APT34-Regelsammlung direkt zu erkunden.
Earth Simnavaz alias APT34 Angriffsanalyse
Die von der iranischen Regierung unterstützte Hackergruppe, die als Earth Simnavaz alias APT34 und OilRig verfolgt wird, wurde beobachtet, wie sie die CVE-2024-30088, eine zuvor gepatchte Windows-Kernel-Privilegieneskalation-Schwachstelle, während einer Cyber-Spionage-Operation gegen die VAE und die weitere Golfregion nutzt. Trend Micro hat Untersuchungen zu den neuesten Aktivitäten von Earth Simnavaz durchgeführt, die neue Details über die Entwicklung des offensiven Werkzeugsatzes der Gruppe und die bedrohliche Gefahr für kritische Infrastruktureinrichtungen in den VAE enthüllen. Laut Forschern haben cyber-Angriffe, die mit der APT34-Gruppe in Verbindung stehen, erheblich zugenommen und konzentrieren sich auf den Regierungssektor im Nahen Osten.
In den neuesten Angriffen setzt Earth Simnavaz eine neue fortschrittliche Backdoor ein, die auf lokalen Microsoft Exchange-Servern abzielt, um sensible Anmeldeinformationen, einschließlich Konten und Passwörtern, zu stehlen. Die Gruppe nutzt auch weiterhin das herabgesetzte Passwortfilter-Policy-DLL, das es ihnen ermöglicht, Klartext-Passwörter zu extrahieren, was ihre sich entwickelnden Taktiken und die laufenden Bedrohungen für Organisationen hervorhebt.
Das fortschreitende Angreifer-Toolset umfasst auch die Experimente der Gruppe mit dem RMM-Tool ngrok, das Angreifern ermöglicht, Datenverkehr zu tunneln und die Kontrolle über kompromittierte Systeme zu behalten. Darüber hinaus nutzt Earth Simnavaz eine Mischung aus benutzerdefinierten .NET-Tools, PowerShell-Skripten und IIS-basierter Malware, um ihre Aktivitäten innerhalb des regulären Netzwerkverkehrs zu tarnen und traditionelle Erkennungsmethoden zu umgehen.
Im ersten Angriffsstadium nutzen die Angreifer einen verwundbaren Webserver aus, um eine Web-Shell bereitzustellen, gefolgt von der Verwendung des ngrok-Dienstprogramms, um die Persistenz aufrechtzuerhalten und sich lateral im Netzwerk zu bewegen. Dann nutzen die Angreifer die Privilegieneskalations-Schwachstelle, CVE-2024-30088, aus, um die STEALHOOK-Backdoor bereitzustellen, die gestohlene Daten über den Exchange-Server als E-Mail-Anhänge an eine vom Angreifer kontrollierte Adresse exfiltriert.
Da APT34 seinen Fokus auf den Nahen Osten verstärkt, insbesondere auf Regierungssektoren in der Golfregion für Cyber-Spionage und Datendiebstahl, ist es für gefährdete Organisationen entscheidend, die Verteidigungen gegen die aufkommenden Bedrohungen der Gruppe zu verstärken. Verlassen Sie sich auf SOC Primes umfassende Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und erweiterte Bedrohungserkennung, um die Cybersicherheitslage Ihrer Organisation zukunftssicher zu gestalten und die Ressourceneffizienz zu optimieren.
