Il gruppo di cyber-spionaggio Earth Simnavaz, noto anche come APT34 e OilRig, è stato recentemente al centro dell’attenzione per una serie di attacchi avanzati rivolti a enti governativi e infrastrutture critiche negli Emirati Arabi Uniti (UAE) e in altre nazioni del Golfo. Secondo i ricercatori di Trend Micro, questa campagna di attacchi mira a compromettere sistemi sensibili, sfruttando vulnerabilità non risolte e utilizzando tecniche sofisticate per eludere i sistemi di difesa tradizionali.
Strategie e tecniche di attacco di OilRig
Earth Simnavaz si distingue per l’uso di metodi avanzati, tra cui una nuova backdoor che sfrutta i server Microsoft Exchange per il furto di credenziali. Questa tecnica prevede l’infiltrazione nei sistemi tramite web shell caricati su server vulnerabili, che permettono agli attaccanti di eseguire codice PowerShell, caricare file e stabilire un punto d’appoggio nella rete compromessa.
- Sfruttamento di CVE-2024-30088: Una delle vulnerabilità utilizzate dal gruppo è la CVE-2024-30088, una falla di Elevation of Privilege nel kernel di Windows. Gli attaccanti la utilizzano per ottenere privilegi amministrativi, installando un file DLL di filtro password che consente di estrarre credenziali in chiaro dai sistemi compromessi. Questo tipo di approccio permette a Earth Simnavaz di mantenere un controllo persistente sui dispositivi compromessi e di esfiltrare informazioni sensibili.
- Uso di strumenti RMM come ngrok: Il gruppo ha integrato strumenti come ngrok per creare tunnel di rete sicuri, consentendo loro di mantenere il controllo remoto dei sistemi compromessi senza essere facilmente rilevati. Questo facilita anche i movimenti laterali all’interno delle reti, permettendo agli attaccanti di raggiungere e compromettere i Domain Controllers.
La capacità di Earth Simnavaz di combinare strumenti personalizzati in .NET, script PowerShell e malware basato su IIS evidenzia la loro abilità nel far sembrare il traffico di rete legittimo, riducendo il rischio di rilevamento.
Implicazioni geopolitiche e obiettivi strategici
Il gruppo di cyber-spionaggio è ritenuto collegato a interessi iraniani e ha concentrato i suoi sforzi su settori strategici come energia, petrolio e gas, che sono cruciali per la stabilità economica della regione e l’analisi di Trend Micro lo confermerebbe. Negli ultimi mesi, è stato registrato un aumento degli attacchi rivolti a organizzazioni governative, con un focus particolare su infrastrutture di rilevanza geopolitica negli Emirati Arabi Uniti.
L’obiettivo di OilRig non è solo il furto di informazioni, ma anche la possibilità di compromettere infrastrutture che potrebbero essere utilizzate come piattaforme per ulteriori attacchi contro altri target regionali. La persistenza delle loro operazioni sottolinea il rischio continuo per i Paesi del Golfo, che devono adottare misure di sicurezza avanzate per proteggere le loro reti e infrastrutture critiche.
