İran devlet destekli bir tehdit grubu, Orta Doğu’da yaklaşık iki yıl süren kritik bir ulusal altyapıya (CNI) yönelik uzun vadeli bir siber müdahaleye atfedildi.
En azından Mayıs 2023’ten Şubat 2025’e kadar süren faaliyet, “kapsamlı casusluk operasyonları ve şüpheli ağ edatlama gerektirdi – Forguard Olay Yanıtı (FGIR) ekibi bir raporda, gelecekteki stratejik avantaj için sürekli erişimi sürdürmek için kullanılan bir taktik” dedi.
Ağ Güvenlik Şirketi, saldırının, bilinen bir İran ulus-devlet tehdit oyuncusu ile Tradecraft sergilediğini belirtti. Limon kum fırtınası (eski adıyla Rubidyum), aynı zamanda Parisite, Pioneer Kitten ve UNC757 olarak da izlenen.
ABD, Orta Doğu, Avrupa ve Avustralya’da en az 2017’den beri aktif olduğu değerlendirildi. Endüstriyel siber güvenlik şirketi Dragos’a göre, düşman ilk erişimi elde etmek için Fortinet, Pulse Secure ve Palo Alto Networks’teki bilinen Sanal Özel Ağ (VPN) güvenlik kusurlarından yararlandı.
Geçen yıl, ABD siber güvenlik ve istihbarat teşkilatları, ABD, İsrail, Azerbaycan ve Birleşik Arap Emirlikleri’ndeki kuruluşlara karşı fidye yazılımı dağıtmak için limon kum fırtınasına parmaklarını işaret etti.
Fortinet tarafından CNI varlığına karşı analiz edilen saldırı, Mayıs 2023’ten itibaren dört aşamada ortaya çıktı ve kurbanın karşı önlemler çıkardığı için gelişen bir araç cephaneliği kullandı –
- 15 Mayıs 2023 – 29 Nisan 2024 -Mağdurun SSL VPN sistemine erişmek, kamuya açık sunuculara web mermilerini bırakmak ve uzun vadeli erişim için üç backroor, tahribat, Hanifnet ve HxLibrary dağıtmak için çalıntı giriş kimlik bilgilerini kullanarak bir dayanak oluşturma
- 30 Nisan 2024 – 22 Kasım, 2024 – Daha fazla web mermisi ve neoExpressRat adı verilen daha fazla web kabuğu ve ek bir arka kapı ekleyerek dayanağın birleştirilmesi, ağın derinliklerine derine gömmek için plink ve ngrok gibi araçları kullanarak, kurbanın e -postalarının hedefli pespiltrasyonunu gerçekleştirerek ve erduelleştirme altyapısına lateral hareketin gerçekleştirilmesi
- 23 Kasım 2024 – 13 Aralık 2024 – Kurban tarafından üstlenilen ilk muhafaza ve iyileştirme adımlarına yanıt olarak, Meshcentral Agent ve SystemBC olan daha fazla web mermisi ve iki tane daha backroor dağıtmak
- 14 Aralık 2024 – Mevcut -Bilinen biyotize güvenlik açıklarını (CVE-2023-38950, CVE-2023-38951 ve CVE-2023-38952) ve mızrak-akhar saldırıları, çalışanların 11’ini Microsoft 365 kimlik bilgilerini hasat ettikten sonra hedefleyen mızrak-akhar saldırılarını kullanarak tekrar sızma girişimleri.
Hem tahribat hem de meshCentral’ın sırasıyla komut ve kontrol (C2) çerçevesi ve uzaktan izleme ve yönetim (RMM) yazılımı olarak işlev gören açık kaynaklı araçlar olduğunu belirtmek gerekir. Öte yandan, SystemBC, genellikle fidye yazılımı dağıtımının öncüsü görevi gören bir emtia kötü amaçlı yazılımını ifade eder.
Saldırıda kullanılan özel kötü amaçlı yazılım ailelerinin kısa bir açıklaması aşağıdadır –
- Hanifnet – Bir C2 sunucusundan komutları alabilen ve yürütebilen imzasız bir .NET Yürütürü (ilk olarak Ağustos 2023’te dağıtılır)
- Hxlibrary – C2 sunucusunu almak ve Web isteklerini göndermek için Google Dokümanlar’da barındırılan üç özdeş metin dosyasını almak için tasarlanmış.
- Sadık – Windows Yerel Güvenlik İdaresi Alt Sistem Hizmeti (LSASS) işlem belleğinden kimlik bilgilerini toplayabilen DLL tabanlı bir araç (ilk olarak Kasım 2023’te dağıtıldı)
- Remoteinjector – Havoc gibi bir sonraki aşamalı yükü yürütmek için kullanılan bir yükleyici bileşeni (ilk olarak Nisan 2024’te konuşlandırıldı)
- Recshell – İlk keşif için kullanılan bir web kabuğu (ilk olarak Nisan 2024’te konuşlandırıldı)
- NeoExpressRat – C2 sunucusundan bir yapılandırmayı alan ve muhtemelen takip iletişimleri için Discord kullanan bir arka kapı (ilk olarak Ağustos 2024’te konuşlandırılır)
- Damla – Temel dosya yükleme özelliklerine sahip bir web kabuğu (ilk olarak Kasım 2024’te dağıtılır)
- Kara yükü – SystemBC’yi başlatmak için kullanılan açık kaynaklı bir yükleyici (ilk olarak Aralık 2024’te konuşlandırıldı)
Lemon Sandstorm bağlantıları C2 Altyapısı – Apps.gist.githubapp[.]Net ve Gupdate[.]Net – Daha önce aynı dönemde yürütülen tehdit oyuncusu operasyonlarıyla ilişkili olarak işaretlenmiştir.
Fortinet, kurbanın kısıtlı operasyonel teknoloji (OT) ağının, tehdit aktörünün kapsamlı keşif faaliyetlerine ve OT-adjacent sistemlerini barındıran bir ağ segmentini ihlal eden saldırının kilit bir hedefi olduğunu söyledi. Bununla birlikte, düşmanın OT ağına nüfuz ettiğine dair bir kanıt yoktur.
Kötü niyetli etkinliğin çoğunluğunun, komut hataları ve tutarlı çalışma programı göz önüne alındığında, farklı kişiler tarafından gerçekleştirilen uygulamalı klavye işlemleri olduğu değerlendirilmiştir. Ayrıca, olayın daha derin bir incelemesi, tehdit oyuncunun 15 Mayıs 2021’in başlarında ağa erişebileceğini ortaya koymuştur.
Şirket, “Saldırgan, saldırgan, ağ segmentasyonunu atlamak ve çevre içinde yanal olarak hareket etmek için zincirli vekilleri ve özel implantları kaldırdı.” Dedi. “Daha sonraki aşamalarda, iç ağ segmentlerine erişmek için sürekli olarak dört farklı proxy aracı zincirlediler, kalıcılığı korumak ve tespitten kaçınmak için sofistike bir yaklaşım gösterdiler.”