A Microsoft descobriu que um grupo de hackers iranianos conhecido como 'Mint Sandstorm' está realizando ciberataques em infraestruturas críticas dos Estados Unidos em retaliação aos recentes ataques à infraestrutura do Irã.
Mint Sandstorm é o novo nome do grupo de hackers Phosphorous, que se acredita trabalhar para o governo iraniano e estar ligado ao Exército dos Guardiães da Revolução Islâmica (IRGC).
Em um novo relatório, pesquisadores da equipe de Inteligência de Ameaças da Microsoft explicam que um subgrupo do Mint Sandstorm mudou de realizar vigilância em 2022 para realizar ataques diretos em infraestruturas críticas dos Estados Unidos.
A teoria é que essas intrusões sejam uma retaliação aos ataques à infraestrutura do Irã que o país atribuiu aos Estados Unidos e Israel.
Isso inclui ataques destrutivos ao sistema ferroviário do Irã em junho de 2021 e um ciberataque que causou uma interrupção nos postos de gasolina iranianos em outubro de 2021.
A Microsoft acredita que o governo iraniano está permitindo que atores de ameaças patrocinados pelo estado tenham mais liberdade ao realizar ataques, levando a um aumento geral nos ciberataques.
"Esse direcionamento também coincidiu com um aumento mais amplo no ritmo e no escopo dos ciberataques atribuídos aos atores de ameaças iranianos, incluindo outro subgrupo do Mint Sandstorm, que a Microsoft observou a partir de setembro de 2021", alerta a Microsoft no relatório sobre o Mint Sandstorm.
"A maior agressão dos atores de ameaças iranianos parecia correlacionar-se com outras movimentações do regime iraniano sob um novo aparato de segurança nacional, sugerindo que tais grupos estão menos limitados em suas operações." No ano passado, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro sancionou dez indivíduos e duas entidades afiliadas ao Corpo de Guardiões da Revolução Islâmica (IRGC), cujas atividades se sobrepõem às atribuídas ao Phosphorus.
A Microsoft diz que esse novo subgrupo do Mint Sandstorm usa comumente exploits de prova de conceito à medida que se tornam públicos, como a empresa observou um ataque usando um PoC do Zoho ManageEngine no mesmo dia em que foi lançado.
Além dos exploits N-day, que é o código para alavancar vulnerabilidades conhecidas, os atores de ameaças também usaram vulnerabilidades mais antigas, como o Log4Shell, para invadir dispositivos sem correções.
Uma vez que ganham acesso a uma rede, os atores de ameaças lançam um script personalizado do PowerShell para coletar informações sobre o ambiente e determinar se ele é de alto valor.
Os hackers usam então o framework Impacket para se espalhar lateralmente na rede enquanto conduzem uma das duas cadeias de ataque.
A primeira cadeia de ataque leva ao roubo do banco de dados do Windows Active Directory do alvo, que pode ser usado para obter credenciais dos usuários que ajudam os hackers a avançar na intrusão ou evadir a detecção na rede.
A segunda cadeia de ataque é implantar malware de backdoor personalizado chamado Drokbk e Soldier; ambos são usados para manter a persistência em redes comprometidas e implantar payloads adicionais.
A Microsoft diz que o Drokbk (Drokbk.exe) [VirusTotal] é um aplicativo .NET que consiste em um instalador e um payload de backdoor que recupera uma lista de endereços de servidor de comando e controle de um arquivo README em um repositório do GitHub controlado pelo atacante.
O malware Soldier também é um backdoor .NET que pode baixar e executar payloads adicionais e desinstalar a si mesmo.
Como o Drokbk, ele recupera uma lista de servidores de comando e controle de um repositório do GitHub.
Além de utilizar exploits para invadir redes, a Microsoft diz que os atacantes conduziram ataques de phishing de baixo volume contra um pequeno número de vítimas direcionadas.
Esses ataques de phishing incluíam links para contas do OneDrive hospedando PDFs falsificados para conter informações sobre a segurança ou política no Oriente Médio.
Esses PDFs também incluem links para um modelo malicioso do Word que usou injeção de modelo para executar um payload em um dispositivo.
Esses ataques de phishing foram usados para implantar o framework de pós-exploração do PowerShell CharmPower para persistência e execução de comandos adicionais.
"As capacidades observadas nas intrusões atribuídas a esse subgrupo do Mint Sandstorm são preocupantes, pois permitem que os operadores ocultem a comunicação C2, persistam em um sistema comprometido e implantem uma série de ferramentas pós-compromisso com capacidades variáveis", alerta a Microsoft.
"Embora os efeitos variem dependendo das atividades pós-intrusão dos operadores, mesmo o acesso inicial pode permitir o acesso não autorizado e facilitar comportamentos adicionais que possam impactar adversamente a confidencialidade, integridade e disponibilidade de um ambiente."
A Microsoft recomenda usar regras de redução de superfície de ataque para bloquear executáveis que não atendam a critérios específicos: Como os atores de ameaças dependem fortemente de vulnerabilidades para acesso inicial às redes corporativas, a Microsoft recomenda que as organizações apliquem atualizações de segurança o mais rápido possível.
Deve ser dada atenção especial à correção do IBM Aspera Faspex, Zoho ManageEngine e Apache Log4j2, já que são alvos conhecidos dos atores de ameaças.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...