OilRig Exploits Windows Kernel Flaw in Espionage Campaign Targeting UAE and Gulf
- 공격 개요
- 공격자: 이란 기반의 APT 그룹 OilRig (Earth Simnavaz, APT34 등으로도 알려짐)
- 타겟: 아랍에미리트(UAE) 및 걸프 지역 주요 인프라 및 조직
- 목적: 정보 탈취 및 지속적 접근 확보를 통한 추가 공격 기지 마련
- 주요 공격 방법 및 도구
- 취약점 활용: CVE-2024-30088 Windows 커널의 권한 상승 취약점 악용
- 취약점 설명: 권한 상승을 통해 SYSTEM 권한 획득, Microsoft에서 2024년 6월에 패치 완료
- 초기 접근
- 취약한 웹 서버 침투 후 웹 셸 설치
- ngrok 원격 관리 도구 배포로 지속적 접근 확보 및 네트워크 내 확장
- 정보 탈취
- Microsoft Exchange 서버를 통한 사용자 자격 증명 수집 및 STEALHOOK 백도어 전달
- psgfilter.dll DLL 파일로 도메인 사용자 비밀번호 획득, 평문 비밀번호를 암호화 후 전송
- 백도어 및 악성 코드
- STEALHOOK: 수집된 데이터를 이메일 첨부 파일 형태로 전송
- MrPerfectionManager: 이전에 사용된 백도어로, 중동 지역 조직을 대상으로 유사한 정보 탈취 활동 수행
- 공격 목적과 영향
- 중요 인프라의 침투: 지리적·정치적으로 민감한 지역에 대한 지속적 접근 확보
- 추가 공격 가능성: 타깃 조직을 통해 추가 목표물에 대한 공격 가능성 확대
- 보안 권고 사항
- 취약점 관리: CVE-2024-30088와 같은 최신 취약점 패치 필수 적용
- 보안 모니터링 강화: 웹 셸 설치 및 원격 관리 도구 배포 감지
- 비밀번호 보호 정책 검토: psgfilter.dll과 같은 비밀번호 추출 공격 방지 위한 정책 및 보안 검토
- 이상 행위 탐지: 네트워크 트래픽에서 비정상적 이메일 활동 및 파일 전송 모니터링
'Kant's IT > Vulnerability' 카테고리의 다른 글
| pac4j Java 프레임워크의 원격 코드 실행(RCE) 취약점 (0) | 2024.11.23 |
|---|---|
| Linear eMerge E3 시스템 취약점 경고 (CVE-2024-9441) (0) | 2024.11.21 |
| GitLab CI/CD 파이프라인 임의 실행 취약점 및 주요 보안 업데이트 (0) | 2024.11.18 |
| F5 BIG-IP 쿠키 악용을 통한 내부 네트워크 해킹 가능성 경고 (0) | 2024.11.18 |
| Palo Alto PAN-OS 방화벽 취약점 패치 (0) | 2024.11.17 |