OilRig còn được biết đến với các tên gọi khác như Cobalt Gypsy, Earth Simnavaz và Helix Kitten, nhóm tin tặc này đã hoạt động ít nhất từ ​​năm 2014, nhắm vào các thực thể trong lĩnh vực năng lượng và cơ sở hạ tầng quan trọng khác, theo đuổi các mục tiêu phù hợp với mục tiêu của Chính phủ Iran.

Trend Micro cho biết: “Trong những tháng gần đây, đã có sự gia tăng đáng kể các cuộc tấn công mạng được cho là do nhóm tin tặc OilRig thực hiện, nhắm vào các khu vực chính phủ tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) và khu vực Vùng Vịnh rộng lớn”.

Là một phần trong các hoạt động mới được phát hiện, OilRig đã triển khai một backdoor mới tinh vi để đánh cắp thông tin đăng nhập thông qua các máy chủ Microsoft Exchange Server on-premises.

Ngoài ra, các tin tặc OilRig còn bị phát hiện lạm dụng chính sách lọc mật khẩu để trích xuất mật khẩu dạng rõ, lợi dụng công cụ giám sát và quản lý từ xa (RMM) Ngrok để tạo đường hầm (tunnel) lưu lượng truy cập và duy trì tính bền bỉ, đồng thời khai thác lỗ hổng CVE-2024-30088.

Được biết, CVE-2024-30088 là lỗ hổng leo thang đặc quyền trong Windows kernel, ảnh hưởng đến các hệ điều hành Microsoft. Lỗ hổng này có điểm CVSS cao là 8,8, cho thấy tác động nghiêm trọng của nó.

Kẻ tấn công có thể khai thác lỗ hổng này để nâng cao quyền của chúng trên các mục tiêu bị ảnh hưởng, có khả năng giành toàn quyền kiểm soát hệ thống. Microsoft đã vá lỗ hổng này vào tháng 6/2024, tuy nhiên gã khổng lồ công nghệ không đề cập đến việc khai thác trong thực tế tại thời điểm hiện tại.

Trend Micro cho biết, các tin tặc đã tải một web shell lên một máy chủ web dễ bị tấn công. Web shell này không chỉ cho phép thực thi mã PowerShell mà còn cho phép kẻ tấn công tải xuống và tải lên (upload) các tệp từ máy chủ.

Sau khi truy cập được vào hệ thống mạng, các tin tặc triển khai Ngrok và tận dụng nó để di chuyển ngang hàng, cuối cùng xâm phạm Domain Controller và khai thác CVE-2024-30088 để leo thang đặc quyền. Các tin tặc cũng đã cấu hình một DLL lọc mật khẩu và triển khai backdoor nhằm thu thập thông tin xác thực.

Các nhà nghiên cứu cho biết kẻ tấn công cũng đã sử dụng thông tin đăng nhập tên miền bị xâm phạm để truy cập vào Exchange Server và đánh cắp dữ liệu.

“Mục tiêu chính của giai đoạn này là thu thập mật khẩu bị đánh cắp và gửi những thông tin này cho kẻ tấn công dưới dạng tệp đính kèm email. Ngoài ra, chúng tôi quan sát thấy rằng kẻ tấn công lợi dụng các tài khoản hợp pháp có mật khẩu bị rò rỉ để định tuyến các email này qua máy chủ Exchange Server của một số chính phủ”, Trend Micro giải thích.

Backdoor được triển khai trong các cuộc tấn công này có điểm tương đồng với phần mềm độc hại khác được OilRig sử dụng, đó là lấy tên người dùng và mật khẩu từ một tệp cụ thể, cũng như dữ liệu cấu hình từ máy chủ Exchange Mail Server và gửi email đến một địa chỉ mục tiêu đã chỉ định.