19/04/23
Команда Microsoft Threat Intelligence приписала атаки на критическую инфраструктуру США, которые произошли в период с конца 2021 по середину 2022 года, поддерживаемой иранским правительством группировке Mint Sandstorm (Phosphorus, APT35, Charming Kitten, ITG18, TA453, Yellow Garuda).
«Технически подкованная Mint Sandstorm способна разрабатывать специальные инструменты и быстро использовать уязвимости N-day, а также продемонстрировала гибкость в своей оперативной деятельности, которая, по-видимому, соответствует национальным приоритетам Ирана», — заявила команда Microsoft Threat Intelligence.
Целевые объекты хакеров – морские порты, энергетические компании, транзитные системы и крупная коммунальная и газовая фирма США. Предполагается, что кампания была проведена в ответ на атаки на морскую, железнодорожную и системы АЗС , которые происходили в 2020-2021 годах. Securitylab напоминает, что Иран впоследствии обвинил Израиль и США в организации атак на заправочные станции в попытке вызвать волнения в стране.
Атаки, подробно описанные Microsoft, включают в себя быстрое внедрение общедоступных PoC уязвимостей веб-приложений (например, CVE-2022-47966 и CVE-2022-47986 ) в свои сценарии для первоначального доступа и установления постоянства.
После получения доступа следует развертывание пользовательского сценария PowerShell, который затем используется для активации одной из двух цепочек атак.
Первая цепочка атак использует дополнительные сценарии PowerShell для подключения к удаленному серверу и кражи баз данных Active Directory.
Вторая цепочка атак влечет за собой использование Impacket для подключения к С2-серверу и развертывание сделанного на заказ имплантата «Drokbk and Soldier» - многоступенчатый бэкдор на основе .NET с функциями загрузки и запуска инструментов, а также самоудаления.
Drokbk ранее был подробно описан Secureworks в декабре 2022 года. Специалисты приписали бэкдор группе Nemesis Kitten (Cobalt Mirage, TunnelVision или UNC2448), подкластеру Mint Sandstorm.
В Microsoft добавили, что возможности группы Mint Sandstorm вызывают беспокойство, поскольку они позволяют операторам скрывать связь с C2-сервером, сохраняться в скомпрометированной системе и незаметно развертывать многофункциональные инструменты посткомпрометации.
