Иранские хакеры используют новый метод для атаки на серверы в ОАЭ

Группа хакеров из Ирана, известная как APT34 или OilRig, усилила свою активность в Персидском заливе. Они атакуют правительственные учреждения и критически важную инфраструктуру Объединенных Арабских Эмиратов. Исследователи из Trend Micro обнаружили, что хакеры используют уязвимость в системах Windows для получения более высоких прав доступа на зараженных компьютерах.

Эта уязвимость, известная как CVE-2024-30088, была исправлена Microsoft еще в июне 2024 года, но хакеры нашли способ обойти патч. Они устанавливают вредоносное ПО на серверы Microsoft Exchange, что позволяет им красть учетные данные пользователей.

Кроме того, хакеры регистрируют на затронутых устройствах DLL-файлы для перехвата паролей во время их изменения. Они также используют инструмент 'ngrok' для создания безопасных туннелей, что облегчает скрытное подключение к зараженным системам.

Новый вредоносный код, названный 'StealHook', помогает злоумышленникам красть пароли и отправлять их себе по электронной почте. Эти электронные письма маскируются под законные, что затрудняет их обнаружение.