İranlı hacker grubu ‘Mint Sandstorm’, Microsoft’un Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları tarafından kısa süre önce keşfedildiği üzere, kritik ABD altyapısını hedef alarak altyapısına yönelik son saldırılara misilleme yapıyor.
IRGC (İslam Devrim Muhafızları Birliği) ile bağlantılı olan ve İran hükümeti için çalıştığına inanılan Fosforlu bilgisayar korsanlığı grubu artık ‘Mint Sandstorm’ adı altında faaliyet gösteriyor.
Bunun dışında, 2022’de Mint Sandstorm’un bir alt grubu, odak noktalarını gözetimden çok önemli ABD altyapısına doğrudan saldırılar başlatmaya kaydırdı.
ABD altyapısına yönelik bu saldırıların, İran’ın kendi altyapılarına yönelik son saldırıları ABD ve İsrail’e atfederek misilleme olarak yaptığına inanılıyor.
Haziran 2021’de İran’ın demiryolu sistemi yıkıcı bir saldırıda hedef alındı, ardından aynı yılın Ekim ayında İran benzin istasyonlarında ciddi bir elektrik kesintisine neden olan bir siber saldırı gerçekleşti.
Saldırı Zinciri
Microsoft, siber saldırılardaki artışın, İran hükümetinin denetimini gevşetmesi ve devlet destekli tehdit aktörlerine daha fazla özgürlük sunan kısıtlamalardan kaynaklandığına inanıyor.
Bu, geçen yıl Devrim Muhafızları’na bağlı kişi ve kuruluşların OFAC tarafından yaptırıma tabi tutulmasının ardından geldi.
Mint Sandstorm’un yeni tanımlanan alt grubu, siber saldırılarında sıklıkla kavram kanıtlama açıklarından ve Log4Shell gibi bilinen güvenlik açıkları da dahil olmak üzere N-gün istismarlarından yararlanıyor.
Bilgisayar korsanları, yanal olarak hareket etmek ve iki saldırı zinciri arasında seçim yapmak için Impacket çerçevesini kullanmadan önce hedeflenen ağ hakkında bilgi toplamak için özel bir PowerShell komut dosyası kullanır.
Bilgisayar korsanlarının iki saldırı zinciri, daha fazla izinsiz giriş için kimlik bilgileri elde etmek üzere Windows Active Directory veritabanını çalmayı ve kalıcılığı sürdürmek ve ek yükler dağıtmak için özel arka kapı kötü amaçlı yazılımını dağıtmayı içerir.
.NET arka kapı kötü amaçlı yazılımı Drokbk ve Soldier, saldırgan tarafından kontrol edilen bir GitHub deposundan komut ve kontrol sunucusu adreslerinin bir listesini getirir.
İlki yükleyici olarak çalışırken, ikincisi ekstra yükler indirebilir ve kendisini sistemden kaldırabilir.
Saldırganlar, ağları ihlal etmek için açıklardan yararlanmanın yanı sıra, birkaç kurbanı hedef alan ve Orta Doğu ile ilgili güvenlik veya politika bilgileri içeren sahte PDF’lere sahip OneDrive hesaplarına bağlantılar da dahil olmak üzere düşük hacimli kimlik avı saldırıları gerçekleştirdi.
Kimlik avı saldırıları, şablon enjeksiyonu yoluyla cihazda bir yük yürüten bir Word şablonu için bağlantılar içeren kötü amaçlı PDF’ler kullandı.
Kalıcılık ve ek komutları yürütmek için CharmPower PowerShell istismar sonrası çerçevesi konuşlandırıldı.
Mint Sandstorm alt grubuna atfedilen siber saldırılarda gözlemlenen yetenekler, gizli C2 iletişimine, sistem kalıcılığına ve çok çeşitli taviz sonrası araçlara izin verdiği ve ilk erişimi potansiyel olarak gizliliği tehlikeye atabilecek başka davranışlara yol açabileceği için endişe vericidir. bir sistemin bütünlüğü ve kullanılabilirliği.
Saldırı Yüzeyi Azaltma Kuralları
Aşağıda, uyumlu olmayan yürütülebilir dosyaların yürütülmesini önlemek için Microsoft tarafından önerilen saldırı yüzeyi azaltma kurallarından bahsetmiştik: –
- Yürütülebilir dosyalar yürütülmeden önce bir yaygınlık, yaş veya güvenilir liste ölçütünü karşılamalıdır.
- Office uygulamaları tarafından yürütülebilir içerik oluşturulmasına izin vermeyin.
- PSExec ve WMI tabanlı işlem oluşturma engellenmelidir.
Güvenlik açıkları, bu tehdit aktörleri için kurumsal ağlara birincil giriş yolu olduğundan.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin