【安全资讯】Earth Simnavaz利用Windows内核漏洞CVE-2024-30088攻击关键基础设施

概要：

近期，Trend Micro的研究人员揭示了一系列由网络威胁组织Earth Simnavaz（又称APT34或OilRig）实施的高级网络攻击。该组织与伊朗有关，主要针对阿联酋及更广泛的海湾地区的政府实体和关键基础设施，利用复杂的技术手段获取未授权访问并窃取敏感信息。

主要内容：

Earth Simnavaz的攻击活动显著增加，尤其集中在能源行业，特别是石油和天然气相关组织。研究人员指出，该组织旨在利用地缘政治敏感地区的关键基础设施漏洞，建立持久的控制权，以便在未来的攻击中利用这些实体。

该组织的一项关键战术是通过Microsoft Exchange服务器部署复杂的后门，旨在窃取敏感凭证，包括账户密码，并将其转发给攻击者。此外，Earth Simnavaz还利用Windows内核中的CVE-2024-30088漏洞进行权限提升，确保其攻击的有效性和隐蔽性。

在最新的攻击活动中，Earth Simnavaz升级了其工具包，使用合法的远程监控和管理工具ngrok，绕过防火墙和网络安全控制，建立与被攻陷服务器的命令与控制通信。通过利用Web Shell，攻击者能够执行PowerShell命令，上传和下载文件，进一步传播恶意软件。这些活动突显了中东地区国家支持的网络组织所带来的日益严重的网络威胁，政府部门应对此类威胁给予高度重视。