H ιρανική ομάδα hackers APT34 – OilRig, έχει κλιμακώσει πρόσφατα τις δραστηριότητές του με νέες επιθέσεις. Στοχεύουν κυβερνητικές οντότητες και φορείς υποδομής ζωτικής σημασίας στα Ηνωμένα Αραβικά Εμιράτα και στην περιοχή του Κόλπου.
Η OilRig ανέπτυξε μια νέα κερκόπορτα, στοχεύοντας διακομιστές Microsoft Exchange για να κλέψει διαπιστευτήρια. Ακόμη, εκμεταλλεύτηκε το ελάττωμα των Windows CVE-2024-30088 για να αυξήσει τα προνόμιά τους σε παραβιασμένες συσκευές.
Οι επιθέσεις ξεκινούν με την εκμετάλλευση ενός ευάλωτου διακομιστή ιστού για τη μεταφόρτωση ενός κελύφους ιστού. Έτσι, οι εισβολείς μπορούν να εκτελέσουν απομακρυσμένο κώδικα και εντολές PowerShell.
Μόλις το κέλυφος ιστού είναι ενεργό, η OilRig το αξιοποιεί για να αναπτύξει πρόσθετα εργαλεία, συμπεριλαμβανομένου ενός στοιχείου που έχει σχεδιαστεί για να εκμεταλλεύεται το ελάττωμα των Windows CVE-2024-30088.