กลุ่มแฮกเกอร์ OilRig ใช้ช่องโหว่ CVE-2024-30088 เพื่อยกระดับสิทธิ์ในการโจมตี
สรุปข้อมูล
กลุ่มแฮกเกอร์ OilRig หรือที่รู้จักกันในชื่อ APT34 และ Helix Kitten จากประเทศอิหร่าน มุ่งเป้าโจมตีไปยังหน่วยงานรัฐบาลและโครงสร้างพื้นฐาน เช่น พลังงาน และเทคโนโลยี ในภูมิภาคตะวันออกกลาง เช่น ประเทศสหรัฐอาหรับเอมิเรตส์ โดยใช้ประโยชน์จากช่องโหว่ CVE-2024-30088 ซึ่งเป็นช่องโหว่ของการโจมตีแบบ Time-of-check to time-of-use (TOCTOU) Race Condition ใน Microsoft Windows Kernel ที่อาจทำให้แฮกเกอร์สามารถยกระดับสิทธิ์การเข้าถึงเป็น SYSTEM เพื่อเข้าควบคุมอุปกรณ์ของเหยื่อ รวมไปถึงสามารถติดตั้งมัลแวร์ที่จะใช้โจมตีอย่างมัลแวร์ STEALHOOK Backdoor อีกด้วย ณ ปัจจุบันช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเดือนมิถุนายน 2024 แต่ยังพบว่ากลุ่มแฮกเกอร์ OilRig ยังคงใช้ประโยชน์จากช่องโหว่ CVE-2024-30088 ในการโจมตีอยู่
รายละเอียดการโจมตี
- เริ่มแรกกลุ่มแฮกเกอร์ OilRig มักจะใช้วิธีการ Spear-Phishing โดยส่งอีเมลหรือแชทของแอปพลิคชัน LinkedIn แบบเจาะจงไปยังเป้าหมายที่แฮกเกอร์ต้องการโจมตี พร้อมกับแนบไฟล์และลิงก์อันตรายให้ดาวน์โหลดและติดตั้งลงบนอุปกรณ์ของเหยื่อ
- เมื่อเหยื่อทำการติดตั้งไฟล์อันตรายสำเร็จ แฮกเกอร์จะใช้ PowerShell และ Script ในการรัน Command บนอุปกรณ์ที่ถูก Compromise โดยใช้ช่องโหว่ CVE-2024-30088 เพื่อยกระดับสิทธิ์ตัวเองให้สามารถดำเนินการอื่น ๆ เช่น การทำ Task Schedule ของ Process หรือ Payload และการหลีกเลี่ยงการตรวจจับด้วยวิธี Obfuscation ต่าง ๆ ตัวอย่างเช่น การ Encode ด้วย Base64 และ Invoke-Obfuscation
- ต่อมาแฮกเกอร์จะทำการ Credential Access โดยใช้เครื่องมือ Mimikatz และ LaZagne ในการ Dump ข้อมูล Credential ออกมาจาก Password Store และหน่วยความจำในรูปแบบของ Plaintext
- สุดท้ายกลุ่มแฮกเกอร์ OilRig ใช้โปรโตคอลต่าง ๆ เช่น FTP และ DNS Tunneling เป็นช่องทางการ Exfiltration ในการดึงข้อมูลที่ Sensitive ออกมาจากอุปกรณ์เหยื่อ
ผลกระทบจากการโจมตี
จากการโจมตีในเหตุการณ์นี้กลุ่มแฮกเกอร์ OilRig สามารถเข้าถึงและขโมยข้อมูลที่ Sensitive บนอุปกรณ์ของเหยื่อได้ นอกจากนี้กลุ่มแฮกเกอร์ยังสามารถยกระดับสิทธิ์ตัวเองเพื่อให้สามารถดำเนินการโจมตีเพิ่มเติมบนอุปกรณ์ของเหยื่อได้ เช่น การติดตั้งมัลแวร์ การขยายขอบเขตการโจมตีไปยังระบบเครือข่ายที่เกี่ยวข้อง
สรุปการโจมตี
การโจมตีจากกลุ่มแฮกเกอร์ OilRig ใช้ Spear-Phishing ในการเข้าถึงอุปกรณ์ของเหยื่อ และหลังจากนั้นจะใช้ PowerShell หรือ Script ในการรัน Command เพื่อดำเนินการโจมตีบนอุปกรณ์ของเหยื่อต่อไป รวมไปถึงใช้ประโยชน์จากช่องโหว่บน Windows อย่างช่องโหว่ CVE-2024-30088 ในการยกระดับสิทธิ์เพื่อ Compromise อุปกรณ์ของเหยื่อได้อย่างสมบูรณ์
คำแนะนำ
- Awareness Training ให้กับพนักงานภายในองค์กรเกี่ยวกับภัยคุกคามต่างๆ เช่น รูปแบบการโจมตีแบบ Phishing
- ใช้ Mail Gateway ในการตรวจจับอีเมล หรือลิงก์อันตรายที่แนบมา
- หมั่นตรวจสอบและอัปเดตแพตช์แก้ไขช่องโหว่ของระบบปฏิบัติการอย่างสม่ำเสมอ
- การจำกัดสิทธิ์การเข้าถึงและใช้หลักการ Least Privilege ในการเข้าถึงทรัพยากรภายในระบบ
- ทำการ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ และตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบ
- ตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
Indicators of Compromise (IoCs)
| OilRig Hacker | |
| SHA256 | d7130e42663e95d23c547d57e55099c239fa249ce3f6537b7f2a8033f3aa73de |
| 1f6369b42a76d02f32558912b57ede4f5ff0a90b18d3b96a4fe24120fa2c300c |
|
| 0ca0febadb1024b0a8961f21edbf3f6df731ca4dd82702de3793e757687aefbc |
|
| 9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777 |
|
| 5db93f1e882f4d7d6a9669f8b1ab091c0545e12a317ba94c1535eb86bc17bd5b |
|
แหล่งอ้างอิง
https://cybersecuritynews.com/oilrig-hackers-windows-kernel-0-day/#google_vignette
https://securityonline.info/cve-2024-30088-under-attack-oilrig-targets-windows-kernel-vulnerability/
https://www.picussecurity.com/resource/blog/oilrig-exposed-tools-techniques-apt34
