Detecção de Ataques do Earth Simnavaz (também conhecido como APT34): Hackers Iranianos Explorando Vulnerabilidade do Kernel do Windows para Alvo UAE e Região do Golfo
Índice:
Em meio a um aumento nos esforços de ciberespionagem por grupos APT norte-coreanos que visam o Sudeste Asiático sob a campanha SHROUDED#SLEEP, especialistas em cibersegurança estão soando alarmes sobre uma onda paralela de ataques orquestrados por hackers afiliados ao Irã. Esta campanha recém-descoberta se concentra em espionar organizações nos Emirados Árabes Unidos e regiões do Golfo. Conhecido como Earth Simnavaz APT (também referido como APT34 ou OilRig), este grupo implanta cepas avançadas de backdoors para explorar servidores Microsoft Exchange e roubar credenciais de login. Além disso, estão explorando uma nova vulnerabilidade crítica no Kernel do Windows (CVE-2024-30088) para elevação de privilégio, aumentando ainda mais sua capacidade de infiltrar sistemas de forma indetectável.
Detecte Ataques do Earth Simnavaz (ou APT34)
Em 2024, grupos APT de várias regiões globais, como China, Coreia do Norte, Irã e Rússia, mostraram um aumento acentuado em capacidades ofensivas dinâmicas e inovadoras, criando desafios substanciais para o cenário global de cibersegurança. Para detectar atividades maliciosas potenciais nos primeiros estágios, os defensores cibernéticos podem contar com a SOC Prime Platform para defesa cibernética coletiva servindo a maior biblioteca mundial de regras de detecção e inteligência de ameaças acionáveis.
Pressione o botão Explorar Detecções abaixo para explorar um conjunto selecionado de regras Sigma abordando a campanha mais recente do Earth Simnavaz contra os Emirados Árabes Unidos e regiões do Golfo. As regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK® para facilitar a investigação de ameaças. Além disso, as detecções são enriquecidas com metadados extensivos, incluindo CTI referências, cronogramas de ataque, recomendações de triagem e auditoria, e mais.
Além disso, para analisar retrospectivamente as atividades do Earth Simnavaz (APT34) e manter-se atualizado sobre os TTPs em evolução do grupo, os defensores cibernéticos podem acessar um conjunto mais amplo de regras de detecção. Navegue pelo Threat Detection Marketplace usando a tag “APT34” ou use o link seguinte para explorar a coleção de regras APT34 diretamente.
Análise de Ataque Earth Simnavaz aka APT34
O grupo de hackers apoiado pelo estado iraniano, rastreado como Earth Simnavaz também conhecido como APT34 e OilRig foi observado explorando CVE-2024-30088, uma vulnerabilidade previamente corrigida de elevação de privilégio no Kernel do Windows durante uma operação de ciberespionagem contra os Emirados Árabes Unidos e a região do Golfo mais ampla. Trend Micro realizou pesquisas nas últimas atividades do Earth Simnavaz revelando novos detalhes sobre a evolução do arsenal ofensivo do grupo e a ameaça urgente que ele apresenta às organizações de infraestrutura crítica nos Emirados Árabes Unidos. De acordo com os pesquisadores, os ataques cibernéticos ligados ao grupo APT34 aumentaram significativamente, com foco nos setores governamentais no Oriente Médio.
Nos ataques mais recentes, o Earth Simnavaz emprega um novo backdoor avançado, que visa servidores Microsoft Exchange no local para roubar credenciais sensíveis, incluindo contas e senhas. O grupo também continua a explorar a política de filtro de senha descartada em DLL, permitindo-lhes extrair senhas em texto simples, destacando suas táticas em evolução e ameaças contínuas às organizações.
O arsenal avançado do adversário também envolve o grupo experimentando a ferramenta RMM ngrok, permitindo que os atacantes tunelizem o tráfego e mantenham o controle sobre sistemas comprometidos. Além disso, o Earth Simnavaz utiliza uma mistura de ferramentas .NET personalizadas, scripts PowerShell e malware baseado em IIS para camuflar suas atividades dentro do tráfego de rede regular, evitando métodos tradicionais de detecção.
No estágio inicial do ataque, os adversários armam um servidor web vulnerável para implantar um web shell, seguido pelo uso do utilitário ngrok para manter a persistência e mover-se lateralmente dentro da rede. Em seguida, os atacantes aproveitam a falha de elevação de privilégios, CVE-2024-30088, para entregar o backdoor STEALHOOK, que exfiltra dados roubados através do servidor Exchange como anexos de e-mail enviados para um endereço controlado pelo atacante.
À medida que o APT34 aumenta seu foco no Oriente Médio, especificamente visando os setores governamentais na região do Golfo para ciberespionagem e roubo de dados, melhorar as defesas contra as ameaças emergentes do grupo é crucial para as organizações em risco. Conte com o conjunto completo de produtos da SOC Prime para engenharia de detecção com IA, caça automatizada de ameaças e detecção avançada de ameaças para proteger futuramente a postura de cibersegurança da sua organização enquanto otimiza a eficiência dos recursos.
