攻撃者は、リモート監視および管理ツール ngrok にアクセスして、Windows ドメイン内の特権レベルを昇格させました。
攻撃者はシステム内の「CVE-2024-30088、Windows カーネルの特権昇格の脆弱性」を悪用し、PowerShell コードを実行するためのアクセスを許可しました。
攻撃者はまた、オープンソースの RunPE-In Memory ユーティリティを使用して、バイナリ コマンドを実行することでシステムに対する権限制御を統合しました。
特に注目すべき点は、OilRig は 2016 年 3 月からこのソフトウェアを使用していることです。
コメント