Un actor respaldado por el gobierno iraní conocido como Tormenta de arena de menta se ha relacionado con ataques dirigidos a infraestructura crítica en los EE. UU. entre finales de 2021 y mediados de 2022.
«Este subgrupo de Mint Sandstorm es técnica y operativamente maduro, capaz de desarrollar herramientas a medida y armar rápidamente las vulnerabilidades del día N, y ha demostrado agilidad en su enfoque operativo, que parece alinearse con las prioridades nacionales de Irán», dijo el equipo de Microsoft Threat Intelligence. dicho en un análisis.
Las entidades seleccionadas consisten en puertos marítimos, empresas de energía, sistemas de tránsito y una importante empresa de servicios públicos y gas de EE. UU. Se sospecha que la actividad es una represalia y en respuesta a los ataques contra sus sistemas de pago marítimo, ferroviario y de estaciones de servicio que tuvieron lugar entre mayo de 2020 y finales de 2021.
Vale la pena señalar aquí que Irán posteriormente acusado Israel y los EE. UU. de planear los ataques a las estaciones de servicio en un intento por crear disturbios en la nación.
Mint Sandstorm es el nuevo nombre asignado al actor de amenazas que Microsoft estaba rastreando previamente con el nombre de Phosphorus, y también es monitoreado por otros proveedores de ciberseguridad como APT35, Charming Kitten, ITG18, TA453 y Yellow Garuda.
El cambio de nomenclatura es parte del cambio de Microsoft de apodos inspirados en elementos químicos a un nuevo Taxonomía de nomenclatura de actores de amenazas con temática climáticaen parte impulsado por la creciente «complejidad, escala y volumen de las amenazas».
A diferencia de MuddyWater (también conocido como Mercury o Mango Sandstorm), que se sabe que opera en nombre del Ministerio de Inteligencia y Seguridad de Irán (MOIS), se dice que Mint Sandstorm está asociado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
Los ataques detallados por Redmond demuestran la capacidad del adversario para refinar constantemente sus tácticas como parte de campañas de phishing altamente específicas para obtener acceso a entornos específicos, lo que marca un cambio del reconocimiento a la orientación directa.
Esto incluye la adopción rápida de pruebas de concepto (PoC) divulgadas públicamente vinculadas a fallas en aplicaciones orientadas a Internet (por ejemplo, CVE-2022-47966 y CVE-2022-47986) en sus playbooks para el acceso inicial y la persistencia.
No se trata solo de fallas recientemente reveladas, ya que el actor de amenazas ha seguido usando vulnerabilidades más antiguas, especialmente Log4Shell, para comprometer dispositivos sin parches como parte de ataques oportunistas e indiscriminados.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
A una infracción exitosa le sigue la implementación de un script de PowerShell personalizado, que luego se usa para activar una de las dos cadenas de ataque, la primera de las cuales se basa en scripts de PowerShell adicionales para conectarse a un servidor remoto y robar bases de datos de Active Directory.
La otra secuencia implica el uso de Impacket para conectarse a un servidor controlado por actores e implementar un implante a medida llamado Drokbk and Soldier, siendo este último una puerta trasera .NET de varias etapas con la capacidad de descargar y ejecutar herramientas y desinstalarse.
Drokbk fue detallado previamente por Secureworks Counter Threat Unit (CTU) en diciembre de 2022, atribuyéndolo a un actor de amenazas conocido como Nemesis Kitten (también conocido como Cobalt Mirage, TunnelVision o UNC2448), un subgrupo de Mint Sandstorm.
Microsoft también criticó al actor de amenazas por realizar campañas de phishing de bajo volumen que culminan en el uso de una tercera puerta trasera personalizada y modular denominada CharmPower, un malware basado en PowerShell que puede leer archivos, recopilar información del host y filtrar los datos.
«Las capacidades observadas en las intrusiones atribuidas a este subgrupo Mint Sandstorm son preocupantes, ya que permiten a los operadores ocultar la comunicación C2, persistir en un sistema comprometido e implementar una gama de herramientas posteriores al compromiso con diferentes capacidades», agregó el gigante tecnológico.