olarak bilinen İran hükümeti destekli bir aktör nane kum fırtınası 2021’in sonları ile 2022’nin ortaları arasında ABD’deki kritik altyapıyı hedef alan saldırılarla bağlantılı.
Microsoft Tehdit İstihbaratı ekibi, “Bu Mint Sandstorm alt grubu, teknik ve operasyonel olarak olgun, ısmarlama araçlar geliştirme ve N-day güvenlik açıklarını hızlı bir şekilde silah haline getirme yeteneğine sahip ve İran’ın ulusal öncelikleriyle uyumlu görünen operasyonel odağında çeviklik sergiledi” dedi. bir analiz.
Hedeflenen varlıklar limanlardan, enerji şirketlerinden, transit sistemlerden ve büyük bir ABD kamu hizmeti ve gaz şirketinden oluşur. Faaliyetin, Mayıs 2020 ile 2021’in sonları arasında deniz, demiryolu ve benzin istasyonu ödeme sistemlerini hedef alan saldırılara misilleme niteliğinde olduğundan şüpheleniliyor.
Burada, İran’ın daha sonra İsrail ve ABD’yi ülkede huzursuzluk yaratmak amacıyla benzin istasyonlarına yönelik saldırıları planlamakla suçladığını belirtmekte fayda var.
Mint Sandstorm, Microsoft’un daha önce Phosphorus adı altında izlediği ve APT35, Charming Kitten, ITG18, TA453 ve Yellow Garuda olarak da bilinen tehdit aktörüne atanan yeni addır.
Terminolojideki değişiklik, kısmen artan “tehditlerin karmaşıklığı, ölçeği ve hacmi” nedeniyle Microsoft’un kimyasal elementlerden ilham alan takma adlardan yeni bir hava durumu temalı tehdit aktörü adlandırma taksonomisine geçişinin bir parçasıdır.
İran İstihbarat ve Güvenlik Bakanlığı (MOIS) adına faaliyet gösterdiği bilinen MuddyWater’ın (aka Mercury veya Mango Sandstorm) aksine, Mint Sandstorm’un İslam Devrim Muhafızları Birliği (IRGC) ile bağlantılı olduğu söyleniyor.
Redmond tarafından ayrıntılandırılan saldırılar, hedeflenen ortamlara erişim elde etmek için yüksek oranda hedeflenen kimlik avı kampanyalarının bir parçası olarak, rakibin taktiklerini sürekli olarak iyileştirme becerisini gösteriyor.
Bu, internete yönelik uygulamalardaki (örn. CVE-2022-47966 ve CVE-2022-47986) kusurlarla bağlantılı, kamuya açıklanan kavram kanıtlarının (PoC’ler) ilk erişim ve kalıcılık için oyun kitaplarına hızla benimsenmesini içerir.
Başarılı bir ihlali, daha sonra iki saldırı zincirinden birini etkinleştirmek için kullanılan özel bir PowerShell betiğinin konuşlandırılması izler; bunlardan ilki, uzak bir sunucuya bağlanmak ve Active Directory veritabanlarını çalmak için ek PowerShell betiklerine dayanır.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Diğer sıra, aktör tarafından kontrol edilen bir sunucuya bağlanmak ve Drokbk ve Soldier adlı ısmarlama bir implant yerleştirmek için Impacket’in kullanılmasını gerektirir; ikincisi, araçları indirip çalıştırma ve kendi kendini kaldırma becerisine sahip çok aşamalı bir .NET arka kapısıdır.
Drokbk, daha önce Aralık 2022’de Secureworks Karşı Tehdit Birimi (CTU) tarafından, Mint Sandstorm’un bir alt kümesi olan Nemesis Kitten (namı diğer Cobalt Mirage, TunnelVision veya UNC2448) olarak bilinen bir tehdit aktörüne atfedilerek detaylandırılmıştı.
Microsoft ayrıca, dosyaları okuyabilen, ana bilgisayar bilgilerini toplayabilen ve verileri sızdırabilen PowerShell tabanlı bir kötü amaçlı yazılım olan CharmPower olarak adlandırılan üçüncü bir özel ve modüler arka kapının kullanımıyla sonuçlanan düşük hacimli kimlik avı kampanyaları yürütmek için tehdit aktörünü çağırdı.
Teknoloji devi, “Bu Mint Sandstorm alt grubuna atfedilen izinsiz girişlerde gözlemlenen yetenekler, operatörlerin C2 iletişimini gizlemesine, güvenliği ihlal edilmiş bir sistemde devam etmesine ve çeşitli yeteneklere sahip bir dizi uzlaşma sonrası aracı devreye almasına izin verdiği için endişe vericidir” diye ekledi.