Peretas yang Didukung Pemerintah Iran Menargetkan Sistem Energi dan Transit AS
19 April 2023Ravie LakshmananAncaman Siber / SCADA
Aktor yang didukung pemerintah Iran dikenal sebagai Badai Pasir Mint telah dikaitkan dengan serangan yang ditujukan terhadap infrastruktur penting di AS antara akhir tahun 2021 hingga pertengahan tahun 2022.
“Subkelompok Mint Sandstorm ini sudah matang secara teknis dan operasional, mampu mengembangkan peralatan yang dipesan lebih dahulu dan dengan cepat memanfaatkan kerentanan yang ada, dan telah menunjukkan ketangkasan dalam fokus operasionalnya, yang tampaknya selaras dengan prioritas nasional Iran,” kata tim Microsoft Threat Intelligence dalam sebuah pernyataan. sebuah analisis.
Entitas yang menjadi sasaran terdiri dari pelabuhan laut, perusahaan energi, sistem transit, dan perusahaan utilitas dan gas besar di AS. Kegiatan ini diduga merupakan tindakan pembalasan dan sebagai respons terhadap serangan yang menargetkan sistem pembayaran maritim, kereta api, dan pompa bensin yang terjadi antara Mei 2020 hingga akhir tahun 2021.
Perlu dicatat di sini bahwa Iran kemudian menuduh Israel dan AS mendalangi serangan terhadap pompa bensin dalam upaya untuk menciptakan kerusuhan di negara tersebut.
Mint Sandstorm adalah nama baru yang diberikan kepada aktor ancaman yang sebelumnya dilacak Microsoft dengan nama Phosphorus, dan juga dipantau oleh vendor keamanan siber lainnya seperti APT35, Charming Kitten, ITG18, TA453, dan Yellow Garuda.
Perubahan nomenklatur ini merupakan bagian dari peralihan Microsoft dari moniker yang terinspirasi unsur kimia menjadi aktor ancaman bertema cuaca yang diberi nama taksonomi, yang sebagian didorong oleh meningkatnya “kompleksitas, skala, dan volume ancaman.”
Berbeda dengan MuddyWater (alias Mercury atau Mango Sandstorm), yang diketahui beroperasi atas nama Kementerian Intelijen dan Keamanan Iran (MOIS), Mint Sandstorm dikatakan terkait dengan Korps Garda Revolusi Islam (IRGC).
Serangan yang dirinci oleh Redmond menunjukkan kemampuan musuh untuk terus menyempurnakan taktiknya sebagai bagian dari kampanye phishing yang sangat bertarget untuk mendapatkan akses ke lingkungan yang ditargetkan, menandai peralihan dari pengintaian ke penargetan langsung.
Hal ini mencakup adopsi cepat bukti konsep (PoC) yang diungkapkan secara publik terkait dengan kelemahan dalam aplikasi yang terhubung ke internet (misalnya, CVE-2022-47966 dan CVE-2022-47986) ke dalam pedoman mereka untuk akses awal dan persistensi.
Ini bukan hanya kelemahan yang baru terungkap, karena pelaku ancaman terus menggunakan kerentanan lama, terutama Log4Shell, untuk menyusupi perangkat yang belum dipatch sebagai bagian dari serangan oportunistik dan tanpa pandang bulu.
Pelanggaran yang berhasil diikuti dengan penerapan skrip PowerShell khusus, yang kemudian digunakan untuk mengaktifkan salah satu dari dua rantai serangan, yang pertama bergantung pada skrip PowerShell tambahan untuk menyambung ke server jarak jauh dan mencuri database Active Directory.
Urutan lainnya memerlukan penggunaan Ipacket untuk terhubung ke server yang dikendalikan aktor dan menerapkan implan khusus yang disebut Drokbk dan Soldier, dengan yang terakhir adalah pintu belakang .NET multitahap dengan kemampuan mengunduh dan menjalankan alat serta menghapus instalasinya sendiri.
Drokbk sebelumnya dirinci oleh Secureworks Counter Threat Unit (CTU) pada bulan Desember 2022, menghubungkannya dengan aktor ancaman yang dikenal sebagai Nemesis Kitten (alias Cobalt Mirage, TunnelVision, atau UNC2448), sub-cluster dari Mint Sandstorm.
Microsoft juga memanggil pelaku ancaman karena melakukan kampanye phishing bervolume rendah yang berujung pada penggunaan pintu belakang kustom dan modular ketiga yang disebut CharmPower, malware berbasis PowerShell yang dapat membaca file, mengumpulkan informasi host, dan mengekstrak data.
“Kemampuan yang diamati dalam intrusi yang dikaitkan dengan subkelompok Mint Sandstorm ini mengkhawatirkan karena memungkinkan operator menyembunyikan komunikasi C2, bertahan dalam sistem yang disusupi, dan menerapkan serangkaian alat pasca-kompromi dengan berbagai kemampuan,” raksasa teknologi itu menambahkan.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
