Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Mint Sandstorm Tehdit Grubunun Alt Grubu Güvenlik Açıklarından Daha Hızlı Yararlanıyor
Bay Mihir (MihirBagwe) •
19 Nisan 2023
Microsoft, İran devletine ait bir bilgisayar korsanlığı grubunun casusluktan ABD’nin kritik altyapısını doğrudan hedef almaya geçti – İran ulusal güvenlik aygıtının yeni keşfettiği saldırganlığın muhtemel bir göstergesi, dedi Microsoft.
Ayrıca bakınız: Ateşkes! Çeviklik ve Güvenlik, Bulut Güvenliğinde “Birlikte Daha İyi” Çalışan Ortaklık Buluyor
Bilgi işlem devi, Mint Sandstorm olarak yeni belirlenen bir grubun – şirket, tehdit aktörleri için yeni bir hava durumuna dayalı taksonomiye geçtiğini – 2021’in sonlarında ve 2022’nin ortalarında limanları, enerji şirketlerini, geçiş sistemlerini ve “büyük bir ABD kamu hizmetini ve gazını” hedeflediğini söyledi. varlık.”
ABD Hazine Bakanlığı geçen Eylül ayında İran’ın İslam Devrim Muhafızları Kolordusu’na bağlı bilgisayar korsanlarına – Microsoft’un Mint Sandstorm’un bir unsuru olduğunu söylediği kişilere – yaptırım uyguladı. Grup ayrıca APT42, Cobalt Illusion ve TA453 olarak da bilinir.
Microsoft, Tahran’ın saldırıları deniz trafiğini aksatan, trenleri rötar yapan ve benzin istasyonu ödemelerini aksatan bir dizi siber saldırıya misilleme olarak gördüğünü değerlendiriyor. Devlet medyası İsrail ve ABD’yi yurtiçi akaryakıt dağıtımını aksatmakla suçladı.
Grubun artan operasyonel temposunun bir işareti, Mint Sandstorm’un bir alt grubunun yakın zamanda açıklanan güvenlik açıklarından daha hızlı yararlanmaya başlamasıdır. Microsoft, bu yıla kadar casusluğa odaklanan ancak aynı zamanda kritik altyapı saldırılarından da sorumlu olan alt grubun bilinen güvenlik açıklarını silahlandırmasının genellikle haftalar sürdüğünü söyledi. Ancak Ocak ayında, Zoho ManageEngine’deki bir güvenlik açığını yalnızca bir günde ortadan kaldırdı ve Şubat ayında Aspera Faspex’teki bir güvenlik açığından yararlanmak yalnızca beş gün sürdü.
Alt grup, en azından geçen yıldan bu yana, “Soldier” ve “Drokbk” yürütülebilir dosya adlarıyla iki özel implant kullandı. Her ikisi de tehdit aktörlerinin altyapılarını dinamik olarak güncellemelerine olanak tanıyan bir teknik olan komuta ve kontrol alanlarına ulaşmak için Mint Sandstorm kontrollü GitHub depolarıyla iletişim kuruyor. İkisinden Soldier daha gelişmiştir, çünkü kendi kendini kaldırabilir.
Mint Sandstorm ayrıca, güvenlik topluluğuyla bağları olan ve İsrail, Kuzey Amerika ve Avrupa’daki düşünce kuruluşları veya üniversitelerle bağlantılı bireyleri hedef alan hedef odaklı kimlik avı kampanyaları aracılığıyla sunulan CharmPower adlı üçüncü bir özel implanta sahiptir. Yem, makrolarla silahlandırılmış bir şablon dosyasını barındıran bir Dropbox hesabına bağlantı içeren bir PDF’yi barındıran bir OneDrive bağlantısıdır. Makrolar, uzak şablon enjeksiyonuna izin verir – “operatörlerin uzak bir C2’den, genellikle OneDrive’dan bir yük almasına ve başlatmasına izin veren bir teknik” Microsoft yazdı. Saldırganlar, tespitten kaçan özellikleri nedeniyle uzak şablon enjeksiyonunu sever.
Microsoft analizi daha önce İran’ın siber uzayda artan saldırganlığını İran cumhurbaşkanlığı liderliğindeki bir değişiklikle ilişkilendirmişti. Hardliner Ebrahim Raisi, Ağustos 2021’de nispeten ılımlı din adamı Hassan Rouhani’nin yerini aldı. Microsoft, 2022 yıllık tehdit ortamı değerlendirmesinde, “Raisi yönetiminin şahin görüşleri, İranlı aktörlerin İsrail ve Batı’ya, özellikle ABD’ye karşı daha cesur adımlar atma isteğini artırmış görünüyor.”