Un rama de amenazas patrocinado por el estado iraní se ha atribuido a una intrusión cibernética a dispendioso plazo dirigida a una infraestructura doméstico crítica (CNI) en el Medio Oriente que duró casi dos primaveras.
La actividad, que duró desde al menos mayo de 2023 hasta febrero de 2025, implicaba «operaciones de espionaje extensas y sospecha de preposición de la red, una táctica que a menudo se usa para sustentar un golpe persistente para una preeminencia estratégica futura», dijo el equipo de Respuesta de Incidentes de Fortiguard (FGIR) en un referencia.
La compañía de seguridad de la red señaló que el ataque exhibe la artesanía superpuesta con un conocido actor de amenaza de estado-estado de la nación iraní que llamó Tormenta de arena de citrón (anteriormente Rubidium), que incluso se rastrea como Parisite, Pioneer Kitten y UNC757.
Se ha evaluado que está activo desde al menos 2017, sorprendente a los sectores aeroespaciales, de petróleo y gas, agua y eléctricos en los Estados Unidos, Medio Oriente, Europa y Australia. Según la compañía de seguridad cibernética industrial Dragos, el adversario ha diligente las fallas de seguridad de la red privada potencial (VPN) conocidos en las redes de Fortinet, Pulse Secure y Palo Detención para obtener golpe original.
El año pasado, las agencias de ciberseguridad e inteligencia de los Estados Unidos señalaron los dedos de Lemon Sandstorm para desplegar ransomware contra entidades en los Estados Unidos, Israel, Azerbaiyán y los Emiratos Árabes Unidos.
El ataque analizado por Fortinet contra la entidad CNI se desarrolló en cuatro etapas a partir de mayo de 2023, empleando un cúmulo en desarrollo de herramientas a medida que la víctima promulgó contramedidas,
- 15 de mayo de 2023 – 29 de abril de 2024 -Establecer un punto de apoyo mediante el uso de credenciales de inicio de sesión robadas para lograr al sistema VPN SSL de la víctima, soltar capas web en servidores de orientación pública e implementar tres puertas traseras, HAVOC, Hanifnet y HxLibrary, para un golpe a dispendioso plazo
- 30 de abril de 2024 – 22 de noviembre de 2024 – Consolidar el punto de apoyo plantando más conchas web y una puerta trasera adicional emplazamiento NeoExpressRat, utilizando herramientas como Plink y Ngrok para excavar más profundamente en la red, realizando la exfiltración dirigida de los correos electrónicos de la víctima y realizando un movimiento anexo a la infraestructura de virtualización
- 23 de noviembre de 2024 – 13 de diciembre de 2024 – Implementar más proyectiles web y dos puertas traseras más, agente Meshcentral y SystemBC, en respuesta a los pasos iniciales de contención y remediación realizados por la víctima
- 14 de diciembre de 2024 – presente -Intenta infiltrarse nuevamente en la red explotando vulnerabilidades de biotime conocidas (CVE-2023-38950, CVE-2023-38951 y CVE-2023-38952) y ataques de pasas de tirada dirigidos a 11 de los empleados a Harvest Microsoft 365 credenciales a posteriori de los credenciales de la víctima de victimismo que eliminó el auxiliar de los adversario de victimidad con éxito.
Vale la pena señalar que tanto Havoc como MeshCentral son herramientas de código campechano que funcionan como un ámbito de comando y control (C2) y software de monitoreo y dirección remota (RMM), respectivamente. Por otro costado, SystemBC se refiere a un malware de productos básicos que a menudo actúa como un precursor de la implementación de ransomware.
Una breve descripción de las familias de malware personalizadas utilizadas en el ataque está a continuación –
- Hanifnet – Un ejecutable de .NET sin firmar que puede recuperar y ejecutar comandos de un servidor C2 (implementado por primera vez en agosto de 2023)
- Hxlibrary – Un módulo IIS taimado escrito en .NET que está diseñado para recuperar tres archivos de texto idénticos alojados en Google Docs para obtener el servidor C2 y enviarle solicitudes web (implementados por primera vez en octubre de 2023)
- Fiel – Una útil basada en DLL que puede recoger credenciales del Servicio del Servicio del Subsistema de la Autoridad de Seguridad Particular de Windows (LSASS) Memoria del proceso (implementado por primera vez en noviembre de 2023)
- Remotinjector – Un componente del cargador que se usa para ejecutar la carga útil de la próxima etapa como Havoc (implementado por primera vez en abril de 2024)
- Recshell – Un shell web utilizado para el examen original (desplegado por primera vez en abril de 2024)
- Neoexpressrat – Una puerta trasera que recupera una configuración del servidor C2 y probablemente usa Discord para las comunicaciones de seguimiento (implementado por primera vez en agosto de 2024)
- Dropshell – Un shell web con capacidades básicas de carga de archivos (implementado por primera vez en noviembre de 2024)
- DarkloadLibrary – Un cargador de código campechano que se utiliza para iniciar SystemBC (implementado por primera vez en diciembre de 2024)
Los enlaces a la tormenta de arena de citrón provienen de la infraestructura C2 – apps.gist.githubapp (.) Net y gupdate (.) Net – previamente traumatizado como asociado con las operaciones del actor de amenaza realizadas durante el mismo período.
Fortinet dijo que la red de tecnología operativa restringida (OT) de la víctima era un objetivo secreto del ataque basado en la extensa actividad de examen del actor de amenaza y su incumplimiento de un segmento de red que aloja sistemas de OT-Ajacentes. Dicho esto, no hay evidencia de que el adversario penetrara en la red OT.
Se ha evaluado que la mayoría de la actividad maliciosa es operaciones prácticas de teclado llevadas a angla por diferentes individuos, dados los errores de comando y el horario de trabajo consistente. Adicionalmente, un examen más profundo del incidente ha revelado que el actor de amenaza pudo activo tenido golpe a la red a partir del 15 de mayo de 2021.
«A lo dispendioso de la intrusión, el atacante aprovechó proxies encadenados e implantes personalizados para evitar la segmentación de la red y moverse lateralmente interiormente del entorno», dijo la compañía. «En etapas posteriores, encadenaron constantemente cuatro herramientas proxy diferentes para lograr a segmentos de red internos, lo que demuestra un enfoque sofisticado para sustentar la persistencia y evitar la detección».
