Earth Simnavaz 利用 Windows 内核漏洞 CVE-2024-30088 攻击关键基础设施

趋势科技研究人员发现了威胁组织 Earth Simnavaz（又称 APT34 或 OilRig）实施的一系列高级网络攻击。这个与伊朗有关联的网络间谍组织一直在积极瞄准阿拉伯联合酋长国（UAE）和更广泛的海湾地区的政府实体和关键基础设施，利用复杂的技术获得未经授权的访问权限并外流敏感信息。

报告强调，Earth Simnavaz 的网络攻击显著增加，该组织主要集中在能源领域，尤其是石油和天然气相关组织。据研究人员称，“Earth Simnavaz 专注于滥用地缘政治敏感地区关键基础设施的漏洞”。该组织的目标是在被入侵的环境中建立持久的立足点，使他们能够将这些实体武器化，用于未来的攻击。

Earth Simnavaz 使用的主要策略之一是通过微软 Exchange 服务器部署一个复杂的后门。该后门的设计目的是外泄敏感凭证，包括账户密码，然后将其转发给攻击者。报告指出：”这个新的后门有助于通过内部微软 Exchange 服务器外泄敏感凭证，包括账户和密码。

此外，还观察到该组织利用 Windows 内核中的 CVE-2024-30088 漏洞进行权限升级。Earth Simnavaz 将此漏洞整合到其工具包中，确保其攻击在保持隐蔽性的同时依然有效。

Earth Simnavaz 通过滥用密码过滤策略，进一步完善了其窃取凭证的能力。通过这种方法，攻击者可以从被入侵的域控制器或本地计算机上截获明文密码。正如报告中详述的那样，威胁行动者可以 “从被入侵的机器上捕获并获取每个密码，甚至在密码被修改之后”。这种访问级别使他们可以长期控制目标系统。

在最新的活动中，Earth Simnavaz 升级了其工具包，加入了 ngrok，这是一种合法的远程监控和管理 (RMM) 工具，允许攻击者创建从本地计算机到互联网的安全隧道。尽管ngrok是合法的，但它已被利用来绕过防火墙和网络安全控制，使Earth Simnavaz能够在不被发现的情况下与被入侵的服务器建立命令与控制（C2）通信。

进入网络后，Earth Simnavaz 还利用 web shell 来控制易受攻击的系统。这些网络外壳允许攻击者执行 PowerShell 命令、上传和下载文件，并最终在网络内进一步传播其恶意软件。

Earth Simnavaz 的活动凸显了中东国家支持的组织所构成的日益严重的网络威胁。报告强调，“地缘政治紧张局势很可能在这一激增中扮演重要角色，中东和海湾地区的政府部门应认真对待这些威胁”。该组织的主要目标似乎是间谍活动和窃取敏感的政府信息，这可能会对该地区的国家安全和经济稳定造成深远影响。