Un gruppo di minacce sponsorizzato dallo stato iraniano è stato attribuito a un’intrusione informatica a lungo termine rivolta a un’infrastruttura nazionale critica (CNI) in Medio Oriente che è durata quasi due anni.
L’attività, che è durata almeno da maggio 2023 a febbraio 2025, ha comportato “estese operazioni di spionaggio e sospetto prepositazione della rete – una tattica spesso utilizzata per mantenere l’accesso persistente per il futuro vantaggio strategico”, il crew di Fortiguard Incident Response (FGIR) disse in un rapporto.
La società di sicurezza della rete ha osservato che l’attacco mostra un tradecraft si sovrappone a un noto attore di minaccia dello stato-nazione iraniano chiamato Tempegia di sabbia di limone (Precedentemente Rubidium), che è anche monitorato come Parisito, Pioneer Kitten e UNC757.
È stato valutato per essere attivo almeno dal 2017, colpendo i settori aerospaziale, petrolifero e fuel, acqua e elettrici in tutti gli Stati Uniti, Medio Oriente, Europa e Australia. Secondo la società di sicurezza informatica industriale Dragos, l’avversario ha sfruttato Community di sicurezza della rete privata virtuale (VPN) conosciute nelle reti di Fortinet, Pulse Safe e Palo Alto per ottenere l’accesso iniziale.
L’anno scorso, agenzie di sicurezza informatica e intelligence degli Stati Uniti Dita a punta a Lemon Sandstorm per la distribuzione di ransomware contro entità negli Stati Uniti, in Israele, nell’Azerbaigian e negli Emirati Arabi Uniti.
L’attacco analizzato da Fortinet contro l’entità del CNI si è svolto in quattro fasi a partire dal maggio 2023, impiegando un arsenale in evoluzione di strumenti mentre la vittima ha emanato contromisure –
- 15 maggio 2023-29 aprile 2024 -Stabilire un punto d’appoggio utilizzando le credenziali di accesso rubate per accedere al sistema VPN SSL della vittima, rilasciare gusci Internet su server rivolti al pubblico e distribuire tre backdoors, Havoc, Hanifnet e HXLibrary, per un accesso a lungo termine
- 30 aprile 2024 – 22 novembre 2024 – Consolidando il punto d’appoggio piantando più conchiglie Internet e un ulteriore backdoor chiamato NeoExpressrat, usando strumenti come Plink e NGROK per scavare più in profondità nella rete, eseguendo esfiltrazione mirata delle e -mail della vittima e conducendo un movimento laterale alle infrastrutture di virtualizzazione
- 23 novembre 2024 – 13 dicembre 2024 – Distribuzione di più shell Internet e altri due backdoors, agente meshcentral e systembc, in risposta al contenuto iniziale e alle fasi di risanamento adottate dalla vittima
- 14 dicembre 2024 – Presente -Tentativi di infiltrarsi nuovamente la rete sfruttando le vulnerabilità biotime be aware (CVE-2023-38950, CVE-2023-38951 e CVE-2023-38952) e attacchi di phishing della lancia rivolti a 11 degli impiegati al raccolto Microsoft 365 credenziali dopo la vittima successivamente rimossa l’accesso di Adoversario per gli avversari
Vale la pena notare che entrambi Caos E Meshcentral sono strumenti open supply che funzionano come un framework di comando e controllo (C2) e software program di monitoraggio e gestione remoto (RMM), rispettivamente. D’altra parte, Systembc Si riferisce a un malware di merci che spesso funge da precursore della distribuzione di ransomware.
Una breve descrizione delle famiglie di malware personalizzate utilizzate nell’attacco è sotto –
- Hanifnet – Un eseguibile .NET non firmato che può recuperare ed eseguire comandi da un server C2 (distribuito per la prima volta nell’agosto 2023)
- Hxlibrary – Un modulo IIS dannoso scritto in .NET progettato per recuperare tre file di testo identici ospitati su Google Documenti per recuperare il server C2 e inviare richieste Internet (distribuita per la prima volta nell’ottobre 2023)
- Creditore – Uno strumento basato su DLL in grado di raccogliere le credenziali dal servizio del sottosistema del sottosistema di sicurezza locale di Home windows (LSASS) Memoria di processo (distribuita per la prima volta nel novembre 2023)
- Remoteiniettore – Un componente del caricatore utilizzato per eseguire il payload in stadio successivo come Havoc (distribuito per la prima volta nell’aprile 2024)
- Rebbhell – Una shell Internet utilizzata per la ricognizione iniziale (distribuita per la prima volta nell’aprile 2024)
- Neoexpressrat – Un backdoor che recupera una configurazione dal server C2 e probabilmente utilizza Discord per le comunicazioni successive (distribuita per la prima volta nell’agosto 2024)
- Gocce – Una shell Internet con funzionalità di caricamento dei file di base (distribuita per la prima volta nel novembre 2024)
- DarkloadLibrary – UN caricatore open supply Viene utilizzato per lanciare Systembc (distribuito per la prima volta nel dicembre 2024)
I collegamenti alla tempesta di sabbia del limone provengono Infrastruttura C2 – Apps.gist.Githubapp (.) Web e Gupdate (.) Web – precedentemente contrassegnati come associati alle operazioni dell’attore di minaccia condotte nello stesso periodo.
Fortinet ha affermato che la rete di tecnologia operativa limitata della vittima (OT) è stata un obiettivo chiave dell’attacco in base alla vasta attività di ricognizione dell’attore delle minacce e alla loro violazione di un segmento di rete che ospita sistemi OT-adiacenti. Detto questo, non ci sono show che l’avversario sia penetrato nella rete OT.
La maggior parte dell’attività dannosa è stata valutata come operazioni pratiche di tastiera eseguite da individui diversi, dati gli errori di comando e il programma di lavoro coerente. Inoltre, un esame più profondo dell’incidente ha rivelato che l’attore delle minacce potrebbe aver avuto accesso alla rete già nel 15 maggio 2021.
“Durante l’intrusione, l’attaccante ha sfruttato i proxy e gli impianti personalizzati per bypassare la segmentazione della rete e spostarsi lateralmente all’interno dell’ambiente”, ha affermato la società. “Nelle fasi successive, hanno costantemente incatenato quattro diversi strumenti di proxy per accedere ai segmenti di rete interni, dimostrando un approccio sofisticato al mantenimento della persistenza ed evitare il rilevamento”.
