Rilevamento Attacchi Earth Simnavaz (alias APT34): Hacker Iraniani Sfruttano Vulnerabilità del Kernel di Windows per Colpire Emirati Arabi Uniti e Regione del Golfo
Indice:
Nel mezzo di un aumento degli sforzi di cyber-spionaggio da parte di gruppi APT nordcoreani che mirano al Sud-est asiatico sotto la campagna SHROUDED#SLEEP, gli esperti di sicurezza informatica stanno lanciando allarmi su un’ondata parallela di attacchi orchestrata da hacker affiliati all’Iran. Questa campagna recentemente scoperta si concentra sullo spionaggio di organizzazioni negli Emirati Arabi Uniti e nelle regioni del Golfo. Conosciuto come Earth Simnavaz APT (noto anche come APT34 o OilRig), questo gruppo distribuisce avanzati trojan di accesso remoto per abusare dei server Microsoft Exchange e rubare credenziali di accesso. Inoltre, stanno sfruttando una nuova vulnerabilità critica del Kernel di Windows (CVE-2024-30088) per l’elevazione dei privilegi, migliorando ulteriormente la loro capacità di infiltrarsi nei sistemi senza essere rilevati.
Rileva gli attacchi di Earth Simnavaz (noto anche come APT34)
Nel 2024, i gruppi APT provenienti da varie regioni del mondo, come Cina, Corea del Nord, Iran e Russia, hanno mostrato un aumento marcato delle capacità offensive dinamiche e innovative, creando sfide sostanziali per il panorama globale della cybersecurity. Per rilevare potenziali attività malevole nelle fasi iniziali, i difensori cibernetici possono fare affidamento su SOC Prime Platform per la difesa collettiva cibernetica che serve la più grande libreria al mondo di regole di rilevamento e intelligence delle minacce applicabili.
Premi il pulsante Esplora Rilevamenti qui sotto per esplorare un set curato di regole Sigma che riguarda la più recente campagna di Earth Simnavaz contro gli Emirati Arabi Uniti e le regioni del Golfo. Le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e sono mappate al quadro MITRE ATT&CK® per facilitare l’indagine sulle minacce. Inoltre, i rilevamenti sono arricchiti con ampi metadati, comprese CTI riferimenti, tempistiche degli attacchi, raccomandazioni di triage & audit, e altro ancora.
Inoltre, per analizzare retrospettivamente le attività di Earth Simnavaz (APT34) e rimanere aggiornati sulle TTP in evoluzione del gruppo, i difensori cibernetici possono accedere a un set più ampio di regole di rilevamento. Naviga nel Threat Detection Marketplace usando il tag “APT34” o usa il seguente link per esplorare direttamente la collezione di regole APT34 .
Analisi degli Attacchi di Earth Simnavaz alias APT34
Il gruppo di hacking supportato dalla nazione iraniana tracciato come Earth Simnavaz alias APT34 e OilRig è stato osservato mentre sfruttava CVE-2024-30088, una vulnerabilità di elevazione dei privilegi del Kernel di Windows precedentemente corretta durante un’operazione di cyber-spionaggio contro gli Emirati Arabi Uniti e la più ampia regione del Golfo. Trend Micro ha condotto una ricerca sulle ultime attività di Earth Simnavaz rivelando nuovi dettagli sull’evoluzione del toolkit offensivo del gruppo e la minaccia pressante che rappresenta per le organizzazioni di infrastrutture critiche negli Emirati Arabi Uniti. Secondo i ricercatori, gli attacchi informatici legati al gruppo APT34 sono aumentati significativamente, concentrandosi sui settori governativi in Medio Oriente.
Negli ultimi attacchi, Earth Simnavaz impiega un nuovo avanzato trojan di accesso remoto, che prende di mira i server Microsoft Exchange locali per rubare credenziali sensibili, inclusi account e password. Il gruppo continua anche a sfruttare la politica del filtro delle password caduta DLL, permettendo loro di estrarre password in chiaro, evidenziando le loro tattiche in evoluzione e le minacce in corso alle organizzazioni.
Il toolkit del nemico in avanzamento coinvolge anche il gruppo che sperimenta con lo strumento RMM ngrok, permettendo agli attaccanti di tunnelare il traffico e mantenere il controllo sui sistemi compromessi. Inoltre, Earth Simnavaz utilizza una combinazione di strumenti .NET personalizzati, script PowerShell e malware basato su IIS per camuffare le loro attività all’interno del normale traffico di rete, eludendo i metodi tradizionali di rilevamento.
Nella fase iniziale dell’attacco, gli avversari armano un server web vulnerabile per distribuire una web shell, seguita dall’utilizzo dell’utilità ngrok per mantenere la persistenza e spostarsi lateralmente all’interno della rete. Quindi i malintenzionati sfruttano la falla di elevazione dei privilegi, CVE-2024-30088, per consegnare il backdoor STEALHOOK, che esfiltra i dati rubati tramite il server Exchange come allegati email inviati a un indirizzo controllato dall’attaccante.
Poiché APT34 aumenta il focus sul Medio Oriente, prendendo di mira specificamente i settori governativi nella regione del Golfo per il cyber-spionaggio e il furto di dati, migliorare le difese contro le minacce emergenti del gruppo è cruciale per le organizzazioni a rischio. Affidati a la suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento potenziata dall’IA, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce per proteggere il futuro della postura di sicurezza informatica della tua organizzazione ottimizzando l’efficienza delle risorse.
