据观察，名为 OilRig 的威胁行为者利用了一个现已打补丁的影响 Windows 内核的权限升级漏洞，作为针对阿联酋和更广泛的海湾地区的网络间谍活动的一部分。

“趋势科技研究人员穆罕默德-法赫米（Mohamed Fahmy）、巴哈-亚曼尼（Bahaa Yamany）、艾哈迈德-卡迈勒（Ahmed Kamal）和尼克-戴（Nick Dai）在上周五发布的一份分析报告中称：”该组织采用了复杂的策略，包括部署后门，利用微软Exchange服务器窃取凭证，以及利用CVE-2024-30088等漏洞进行权限升级。

这家网络安全公司正在追踪名为 Earth Simnavaz 的威胁行为者，它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm（前身为 EUROPIUM）和 Helix Kitten。

攻击链需要部署一种以前未记录的植入程序，它具有通过内部微软 Exchange 服务器渗出凭证的功能，这是对手过去采用的一种屡试不爽的战术，同时还将最近披露的漏洞纳入其漏洞库。

微软于 2024 年 6 月修补了 CVE-2024-30088 漏洞，该漏洞涉及 Windows 内核中的权限升级问题，如果攻击者能够赢得竞赛条件，就可以利用该漏洞获得 SYSTEM 权限。

最初进入目标网络的方法是通过渗透到有漏洞的网络服务器来丢弃一个 web shell，然后丢弃 ngrok 远程管理工具来保持持久性，并转移到网络中的其他端点。

随后，权限升级漏洞就成了传递代号为 STEALHOOK 的后门的通道，负责通过 Exchange 服务器将获取的数据以附件的形式传输到攻击者控制的电子邮件地址。

OilRig 在最新一组攻击中采用的一个显著技术是滥用提升权限来丢弃密码过滤策略 DLL (psgfilter.dll)，以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。

“研究人员说：”恶意行为者在实施密码过滤器导出功能时，非常小心地处理明文密码。“威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密，然后才被外泄。

值得注意的是，早在 2022 年 12 月，人们就发现了 psgfilter.dll 的使用，它与另一个名为 MrPerfectionManager 的后门针对中东地区组织的活动有关。

“研究人员指出：”他们最近的活动表明，Earth Simnavaz 专注于滥用地缘政治敏感地区关键基础设施中的漏洞。“他们还试图在被入侵的实体中建立持久的立足点，以便将这些实体武器化，对更多目标发动攻击”。