回复青蛙科技:滥用密码过滤策略DLL和Ngrok搞流量隧道,这些招数太隐蔽,防不胜防啊
青蛙科技
下载贤集网APP入驻自媒体
12月31日消息,Picus Labs安全研究人员发现,国家支持的黑客组织OilRig(APT34)利用未知的Windows内核漏洞CVE-2024-30088(CVSS评分7.0)发动新一轮攻击,目标主要是阿联酋及海湾地区关键基础设施和政府实体。 CVE-2024-30088是高危特权提升漏洞,影响Windows内核,攻击者利用它可将权限提升至SYSTEM级别,从而广泛控制被攻陷机器。尽管微软在2024年6月已修复该漏洞,但OilRig仍在利用。 其攻击链始于入侵易受攻击的网络服务器,上传Web Shell建立初始访问权限。以此为立足点,部署包括利用该漏洞组件在内的工具。获取提升权限后,在本地Microsoft Exchange服务器安装复杂后门STEALHOOK,借此执行恶意活动,如在网络横向移动、提取敏感文件和凭证。 此外,该组织还滥用已丢弃的密码过滤策略DLL提取明文密码,使用Ngrok远程监控工具进行流量隧道传输,并通过多种手段维持在目标系统中的持久性。安全专家警告,此类攻击若成功,后果严重。
