Η Microsoft ανακάλυψε μια κακόβουλη ιρανική ομάδα hacking, με την ονομασία “Mint Sandstorm”, η οποία εξαπολύει κυβερνοεπιθέσεις εναντίον κρίσιμων υποδομών των ΗΠΑ σε αντίποινα για πρόσφατες επιθέσεις στα συστήματα του Ιράν.
Δείτε επίσης: QBot: Διανέμεται πλέον με email μέσω PDF και WSF συνημμένα
Το υποστηριζόμενο από την Τεχεράνη Ισλαμικό Σώμα Φρουρών της Επανάστασης (IRGC) θεωρείται ύποπτο ότι έχει δεσμούς με την περιβόητη ομάδα hacking Phosphorous, η οποία τώρα ταυτοποιήθηκε ως Mint Sandstorm.
Σε μια πρόσφατα δημοσιευμένη έκθεση, η Ομάδα Πληροφοριών Απειλών της Microsoft αποκάλυψε ότι η Mint Sandstorm -μια υποομάδα απειλητικών φορέων- έχει σταματήσει τις επιχειρήσεις surveillance και έχει στραφεί προς την πραγματοποίηση άμεσων επιθέσεων σε κρίσιμες υποδομές των ΗΠΑ από το 2022.
Ιρανοί αξιωματούχοι έχουν σχολιάσει ότι οι επιθέσεις αυτές αποτελούν απάντηση σε επιθετικές εκστρατείες των ΗΠΑ και του Ισραήλ κατά των υποδομών τους, όπως οι καταστροφικές επιθέσεις στο σιδηροδρομικό σύστημα του Ιράν τον Ιούνιο του 2021 ή ακόμη και μια κυβερνοεπίθεση που οδήγησε σε διακοπή λειτουργίας σε σταθμούς φυσικού αερίου σε όλη τη χώρα τον Οκτώβριο.
Η Microsoft έχει παρατηρήσει ότι η ιρανική κυβέρνηση δίνει στους κρατικά υποστηριζόμενους κυβερνοεπιτιθέμενους μεγαλύτερη ελευθερία κινήσεων για την πραγματοποίηση επιθέσεων, με τελικό αποτέλεσμα την αύξηση της κακόβουλης δραστηριότητας.
Πέρυσι, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων (OFAC) του Υπουργείου Οικονομικών εξέδωσε κυρώσεις κατά δέκα φυσικών προσώπων και δύο οντοτήτων που συνδέονται με το Σώμα Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC). Οι οντότητες στις οποίες επιβλήθηκαν κυρώσεις ήταν γνωστές για διάφορες δραστηριότητες παρόμοιες με αυτές της Phosphorus.
Δείτε επίσης: Chameleon Android malware: Μιμείται τραπεζικά και crypto apps
Ανάπτυξη και διάθεση κακόβουλου λογισμικού κατά παραγγελία
Η Microsoft ανακάλυψε ότι η ομάδα Mint Sandstorm εκμεταλλεύεται συχνά τα proof-of-concept exploits κατά την εμφάνισή τους, με πρόσφατο παράδειγμα μια επίθεση που πραγματοποιήθηκε στο Zoho ManageEngine PoC μόλις μία ημέρα μετά την κυκλοφορία του.
Εκτός από τη χρήση των N-day exploits, που είναι ένας όρος για την εκμετάλλευση γνωστών ευπαθειών, οι επιτιθέμενοι βασίστηκαν και σε παλαιότερα ελαττώματα όπως το Log4Shell για να παραβιάσουν unpatched συσκευές.
Μετά τη διείσδυση σε ένα δίκτυο, οι κακόβουλοι φορείς εκτελούν προσαρμοσμένο script PowerShell για να αξιολογήσουν το περιβάλλον και να προσδιορίσουν αν έχει ουσιαστική αξία.
Αφού παραβιάσουν το σύστημα, οι χάκερ χρησιμοποιούν το Impacket για να διαδοθούν στο δίκτυο και να ξεκινήσουν μία από τις δύο ακολουθίες επιθέσεων.
Δείτε επίσης: Οι hackers APT28 στοχεύουν Cisco routers με νέο malware
Η πρώτη αλυσίδα επίθεσης οδηγεί στην κλοπή της βάσης δεδομένων του Windows Active Directory του στόχου, η οποία μπορεί να χρησιμοποιηθεί για την απόκτηση credentials χρηστών που μπορούν να βοηθήσουν τους χάκερ να προωθήσουν την εισβολή ή να αποφύγουν τον εντοπισμό στο δίκτυο.
Για να παραμείνουν σε διεισδυτικά δίκτυα και να διαδώσουν πρόσθετα ωφέλιμα φορτία, τα κακόβουλα λογισμικά Drokbk και Soldier backdoor υλοποιούνται επιδέξια στη δεύτερη αλυσίδα επίθεσης.
Η Microsoft έχει εντοπίσει το Drokbk (Drokbk.exe) [VirusTotal] ως μια εφαρμογή .NET που περιλαμβάνει έναν εγκαταστάτη και ένα backdoor payload που αποκτά διευθύνσεις command and control server από ένα αποθετήριο που ανήκει στον εισβολέα στο GitHub.
Το κακόβουλο λογισμικό Soldier είναι ένα backdoor .NET που μπορεί να κατεβάσει και να εκτελέσει πρόσθετα ωφέλιμα φορτία, καθώς και να εξαφανιστεί χωρίς ίχνη. Σε αντίθεση με το Drokbk, ανακτά οδηγίες από ένα διαδικτυακό repository GitHub.
Η Microsoft ανέφερε ότι, εκτός από την εκμετάλλευση των ευπαθειών του δικτύου, οι επιτιθέμενοι χρησιμοποίησαν εκστρατείες phishing χαμηλής έντασης εναντίον ειδικά επιλεγμένων στόχων.
Αυτές οι επιθέσεις phishing έστειλαν τους χρήστες σε λογαριασμούς OneDrive που περιείχαν αρχεία PDF, κάνοντας να φαίνεται ότι περιείχαν δεδομένα σχετικά με πολιτικές ή την ασφάλεια στη Μέση Ανατολή. Αυτά τα PDF περιλαμβάνουν και συνδέσμους για ένα κακόβουλο πρότυπο Word που χρησιμοποιούσε το template injection για την εκτέλεση ενός payload στη συσκευή.
Οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν αυτές τις επιθέσεις phishing για να εγκαταστήσουν το post-exploitation framework CharmPower PowerShell, ενεργώντας ως μόνιμη κακόβουλη παρουσία και εκτελώντας περαιτέρω εντολές.
Η Microsoft συμβουλεύει να χρησιμοποιούνται κανόνες μείωσης του attack surface για την αποτροπή της εκτέλεσης executables που δεν πληρούν τα προκαθορισμένα κριτήρια.
- Αποκλεισμός εκτέλεσης των εκτελέσιμων αρχείων εκτός εάν πληρούν κάποιο κριτήριο επικράτησης, ηλικίας ή αξιόπιστης λίστας
- Αποκλείστε τις εφαρμογές του Office από τη δημιουργία εκτελέσιμου περιεχομένου
- Αποκλεισμός δημιουργιών διεργασιών που προέρχονται από εντολές PSExec και WMI
Η Microsoft ενθαρρύνει ιδιαίτερα τις επιχειρήσεις να διασφαλίσουν ότι τα δίκτυά τους είναι πλήρως προστατευμένα, εφαρμόζοντας άμεσα ενημερώσεις ασφαλείας, καθώς οι εγκληματίες του κυβερνοχώρου βασίζονται σε μεγάλο βαθμό στις ευπάθειες για αρχική πρόσβαση.
Θα πρέπει να δοθεί προσοχή στην επιδιόρθωση των IBM Aspera Faspex, Zoho ManageEngine και Apache Log4j2, καθώς αποτελούν αναγνωρισμένους στόχους για κακόβουλους φορείς.
Πηγή πληροφοριών: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/461344/i-iraniki-omada-mint-sandstorm-eksapoluei-kivernoepitheseis-enantion-krisimwn-ipodomwn-twn-ipa/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/03/zero-vulnerabilities.jpg&description=Η Microsoft ανακάλυψε μια κακόβουλη ιρανική ομάδα hacking, με την ονομασία "Mint Sandstorm", η οποία εξαπολύει κυβερνοεπιθέσεις εναντίον...){kind=link}