Новости Microsoft обвиняет Иран в масштабных атаках на критическую инфраструктуру США

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Под удар попали морские порты, энергетические компании и коммунальные фирмы США.


84w8dgejir2rj5iu66vk3ggrlahzzlxv.jpg


Команда Microsoft Threat Intelligence приписала атаки на критическую инфраструктуру США, которые произошли в период с конца 2021 по середину 2022 года, поддерживаемой иранским правительством группировке Для просмотра ссылки Войди или Зарегистрируйся (Phosphorus, APT35, Charming Kitten, ITG18, TA453, Yellow Garuda).

«Технически подкованная Mint Sandstorm способна разрабатывать специальные инструменты и быстро использовать уязвимости N-day, а также продемонстрировала гибкость в своей оперативной деятельности, которая, по-видимому, соответствует национальным приоритетам Ирана», — заявила команда Microsoft Threat Intelligence.

Целевые объекты хакеров – морские порты, энергетические компании, транзитные системы и крупная коммунальная и газовая фирма США. Предполагается, что кампания была проведена в ответ на атаки на Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , которые происходили в 2020-2021 годах. Стоит отметить, что Иран впоследствии Для просмотра ссылки Войди или Зарегистрируйся Израиль и США в организации атак на заправочные станции в попытке вызвать волнения в стране.

Атаки, подробно описанные Microsoft, включают в себя быстрое внедрение общедоступных PoC уязвимостей веб-приложений (например, Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ) в свои сценарии для первоначального доступа и установления постоянства.

После получения доступа следует развертывание пользовательского сценария PowerShell , который затем используется для активации одной из двух цепочек атак.

Первая цепочка атак использует дополнительные сценарии PowerShell для подключения к удаленному серверу и кражи баз данных Active Directory.

Вторая цепочка атак влечет за собой использование Impacket для подключения к С2-серверу и развертывание сделанного на заказ имплантата «Drokbk and Soldier» - многоступенчатый бэкдор на основе .NET с функциями загрузки и запуска инструментов, а также самоудаления.


5bt0ksll568yquaa83je36vz7ng18h52.png


Цепочки атак Mint Sandstorm

Drokbk ранее был Для просмотра ссылки Войди или Зарегистрируйся . Специалисты приписали бэкдор группе Nemesis Kitten (Cobalt Mirage, TunnelVision или UNC2448), подкластеру Mint Sandstorm.

В Microsoft добавили, что возможности группы Mint Sandstorm вызывают беспокойство, поскольку они позволяют операторам скрывать связь с C2-сервером, сохраняться в скомпрометированной системе и незаметно развертывать многофункциональные инструменты посткомпрометации.
 
Источник новости
www.securitylab.ru

Похожие темы