Haker kojeg podržava iranska vlada, poznat kao Mint Sandstorm, povezan je s napadima usmjerenim na kritičnu infrastrukturu u SAD-u od kraja 2021. do sredine 2022. godine.
“Ova podgrupa Mint Sandstorm je tehnički i operativno zrela, sposobna da razvije alate po narudžbi i relativno brzo, i pokazala je agilnost u svom operativnom fokusu, što se čini da je u skladu s nacionalnim prioritetima Irana” rekao je tim Microsoft Threat Intelligence-a u analizi.
Ciljani entiteti se sastoje od morskih luka, energetskih kompanija, tranzitnih sistema i velike američke komunalne i gasne kompanije. Sumnja se da je ta aktivnost uzvratna i kao odgovor na napade usmjerene na njegove pomorske, željezničke i benzinske platne sisteme koji su se dogodili između maja 2020. i kraja 2021. godine.
Ovdje je vrijedno napomenuti da je Iran naknadno optužio Izrael i SAD da su organizovali napade na benzinske pumpe u pokušaju da izazovu nemire u zemlji.
Mint Sandstorm je novo ime dodeljeno pretnji koju je Microsoft prethodno pratio pod imenom Phosphorus, a takođe ga prate i drugi proizvođači kibernetičke bezbjednosti kao što su APT35, Charming Kitten, ITG18, TA453 i Yellow Garuda.
Promjena u nomenklaturi dio je Microsoft-ovog pomaka sa naziva inspirisanih hemijskim elementima na novog hakera s temom vremenskih prilika koji naziva taksonomiju, dijelom potaknuta sve većom “složenošću, razmjerom i obimom pretnji”.
Za razliku od MuddyWater-a, poznatog kao Mercury ili Mango Sandstorm, za kojeg je poznato da djeluje u ime iranskog Ministarstva obavještajnih poslova i sigurnosti (MOIS), Mint Sandstorm se kaže da je povezan s Islamskom revolucionarnom gardom (IRGC).
Napadi koje je Redmond detaljno opisao pokazuju sposobnost protivnika da konstantno usavršava svoju taktiku kao dio visoko ciljanih phishing kampanja kako bi dobio pristup ciljanom okruženju, označavajući pomak sa izviđanja na direktno ciljanje.
Ovo uključuje brzo usvajanje javno objavljenih dokaza o konceptima (PoC) povezanih sa nedostacima u aplikacijama koje se nalaze na internetu (npr. CVE-2022-47966 i CVE-2022-47986) u njihove priručnike za početni pristup i postojanost.
Ne radi se samo o novootkrivenim nedostacima, jer je haker nastavio koristiti starije ranjivosti, posebno Log4Shell, da kompromituje nezakrpljene uređaje kao dio oportunističkih i neselektivnih napada.
Nakon uspješnog kršenja slijedi implementacija prilagođene PowerShell skripte, koja se zatim koristi za aktiviranje jednog od dva lanca napada, od kojih se prvi oslanja na dodatne PowerShell skripte za povezivanje na udaljeni server i krađu Active Directory baza podataka.
Druga sekvenca podrazumeva upotrebu Imppacket-a za povezivanje sa serverom koji kontroliše haker i postavljanje prilagođenog implanta zvanog Drokbk i Soldier, pri čemu je potonji višestepeni .NET backdoor sa mogućnošću preuzimanja i pokretanja alata i deinstaliranja.
Drokbk je prethodno detaljno opisao Secureworks Counter Threat Unit (CTU) u decembru 2022. godine, pripisujući ga hakeru poznatom kao Nemesis Kitten, aka Cobalt Mirage, TunnelVision ili UNC2448, podgrupa Mint Sandstorm.
Microsoft je takođe prozvao hakera zbog vođenja kampanja male količine krađe identiteta koje kulminiraju korištenjem trećeg prilagođenog i modularnog backdoor-a koji se naziva CharmPower, malicioznog softvera zasnovanog na PowerShell-u koji može čitati datoteke, prikupljati informacije o hostu i eksfiltrovati podatke.
“Mogućnosti uočene u upadima koji se pripisuju ovoj podgrupi Mint Sandstorm su zabrinjavajuće jer omogućavaju operaterima da prikriju C2 komunikaciju, istraju u kompromitovanom sistemu i implementiraju niz postkompromisnih alata s različitim mogućnostima” dodao je tehnološki gigant.
Izvor: The Hacker News
