Detección de ataques de Earth Simnavaz (alias APT34): Hackers iraníes aprovechan vulnerabilidad del kernel de Windows para atacar a EAU y la región del Golfo
Tabla de contenidos:
En medio de un aumento en los esfuerzos de ciberespionaje por parte de grupos APT norcoreanos dirigidos a Asia Sudoriental bajo la campaña SHROUDED#SLEEP, los expertos en ciberseguridad están levantando alarmas sobre una ola paralela de ataques orquestados por hackers afiliados a Irán. Esta campaña recientemente descubierta se enfoca en espiar a organizaciones en los EAU y las regiones del Golfo. Conocida como Earth Simnavaz APT (también referida como APT34 o OilRig), este grupo despliega variantes avanzadas de puertas traseras para abusar de los servidores Microsoft Exchange y robar credenciales de inicio de sesión. Además, están explotando una nueva vulnerabilidad crítica del Kernel de Windows (CVE-2024-30088) para la escalada de privilegios, mejorando aún más su capacidad para infiltrarse en los sistemas sin ser detectados.
Detectar Ataques de Earth Simnavaz (aka APT34)
En 2024, los grupos APT de diversas regiones globales, como China, Corea del Norte, Irán y Rusia, mostraron un marcado aumento en capacidades ofensivas dinámicas e innovadoras, creando desafíos sustanciales para el panorama global de ciberseguridad. Para detectar actividad maliciosa potencial en las primeras etapas, los defensores cibernéticos pueden confiar en la Plataforma SOC Prime para defensa cibernética colectiva que sirve la biblioteca más grande del mundo de reglas de detección e inteligencia de amenazas procesable.
Presione el botón Explorar Detecciones a continuación para explorar un conjunto seleccionado de reglas Sigma que abordan la campaña más reciente de Earth Simnavaz contra los EAU y las regiones del Golfo. Las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® para facilitar la investigación de amenazas. Además, las detecciones están enriquecidas con metadatos extensivos, incluyendo CTI referencias, líneas de tiempo de ataques, recomendaciones de triaje y auditoría, y más.
Además, para analizar retrospectivamente las actividades de Earth Simnavaz (APT34) y mantenerse actualizado sobre las TTPs en evolución del grupo, los defensores cibernéticos pueden acceder a un conjunto más amplio de reglas de detección. Navegue por el Mercado de Detección de Amenazas usando la etiqueta «APT34» o use el siguiente enlace para explorar la colección de reglas de APT34 directamente.
Análisis de Ataques de Earth Simnavaz aka APT34
El grupo de hacking respaldado por la nación iraní rastreado como Earth Simnavaz aka APT34 y OilRig ha sido observado aprovechando CVE-2024-30088, una vulnerabilidad de elevación de privilegios del Kernel de Windows previamente parcheada durante una operación de ciberespionaje contra los EAU y la región del Golfo en general. Trend Micro ha realizado una investigación sobre las últimas actividades de Earth Simnavaz revelando nuevos detalles sobre la evolución del conjunto de herramientas ofensivas del grupo y la amenaza apremiante que representa para las organizaciones de infraestructura crítica en los EAU. Según los investigadores, los ciberataques vinculados al grupo APT34 han aumentado significativamente, enfocándose en los sectores gubernamentales en el Medio Oriente.
En los últimos ataques, Earth Simnavaz emplea una nueva puerta trasera avanzada, que apunta a los servidores Microsoft Exchange locales para robar credenciales sensibles, incluidas cuentas y contraseñas. El grupo también continúa explotando la política de filtro de contraseña caída DLL, lo que les permite extraer contraseñas en texto plano, destacando sus tácticas en evolución y amenazas continuas a las organizaciones.
El conjunto de herramientas del adversario en avance también involucra al grupo experimentando con la herramienta RMM ngrok, permitiendo a los atacantes crear túneles de tráfico y mantener el control sobre los sistemas comprometidos. Además, Earth Simnavaz aprovecha una mezcla de herramientas personalizadas en .NET, scripts PowerShell y malware basado en IIS para camuflar sus actividades dentro del tráfico regular de red, evadiendo métodos de detección tradicionales.
En la etapa inicial del ataque, los adversarios arman un servidor web vulnerable para desplegar un shell web, seguido del uso de la utilidad ngrok para mantener la persistencia y moverse lateralmente dentro de la red. Luego, los atacantes aprovechan la falla de escalamiento de privilegios, CVE-2024-30088, para entregar el backdoor STEALHOOK, que exfiltra datos robados a través del servidor Exchange como archivos adjuntos de correo electrónico enviados a una dirección controlada por el atacante.
A medida que APT34 aumenta su enfoque en el Medio Oriente, específicamente apuntando a sectores gubernamentales en la región del Golfo para ciberespionaje y robo de datos, mejorar las defensas contra las amenazas emergentes del grupo es crucial para las organizaciones en riesgo. Confíe en la suite completa de productos de SOC Prime para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas para proteger su postura de ciberseguridad mientras optimiza la eficiencia de los recursos.
