Un rama de amenazas patrocinado por el estado iraní se ha atribuido a una intrusión cibernética a extenso plazo dirigida a una infraestructura franquista crítica (CNI) en el Medio Oriente que duró casi dos abriles.
La actividad, que duró de al menos 2023 hasta febrero de 2025, implicaba “operaciones de espionaje extensas y sospecha de preposición de la red, una táctica que a menudo se usa para sostener un paso persistente para una preeminencia estratégica futura”, dijo el equipo de Respuesta de Incidentes de Fortiguard (FGIR) en un referencia.
La compañía de seguridad de la red señaló que el ataque exhibe la artesanía superpuesta con un conocido actor de amenaza de estado-estado de la nación iraní que llamó Tormenta de arena de limonada (anteriormente Rubidium), que igualmente se rastrea como Parisite, Pioneer Kitten y UNC757.
Se ha evaluado que está activo desde al menos 2017, sorprendente a los sectores aeroespaciales, de petróleo y gas, agua y eléctricos en los Estados Unidos, Medio Oriente, Europa y Australia. Según la compañía de seguridad cibernética industrial Dragos, el adversario ha explotado las fallas de seguridad de la red privada imaginario (VPN) conocidos en las redes de Fortinet, Pulse Secure y Palo Stop para obtener paso original.
El año pasado, las agencias de ciberseguridad e inteligencia de los Estados Unidos señalaron los dedos de Lemon Sandstorm para desplegar ransomware contra entidades en los Estados Unidos, Israel, Azerbaiyán y los Emiratos Árabes Unidos.
El ataque analizado por Fortinet contra la entidad CNI se desarrolló en cuatro etapas a partir de mayo de 2023, empleando un conjunto en desarrollo de herramientas a medida que la víctima promulgó contramedidas,
- 15 de mayo de 2023 – 29 de abril de 2024 -Establecer un punto de apoyo mediante el uso de credenciales de inicio de sesión robadas para obtener al sistema VPN SSL de la víctima, soltar capas web en servidores de orientación pública e implementar tres puertas traseras, HAVOC, Hanifnet y HxLibrary, para un paso a extenso plazo
- 30 de abril de 2024 – 22 de noviembre de 2024 – Consolidar el punto de apoyo plantando más conchas web y una puerta trasera adicional señal NeoExpressRat, utilizando herramientas como Plink y Ngrok para excavar más profundamente en la red, realizando la exfiltración dirigida de los correos electrónicos de la víctima y realizando un movimiento limítrofe a la infraestructura de virtualización
- 23 de noviembre de 2024 – 13 de diciembre de 2024 – Implementar más proyectiles web y dos puertas traseras más, agente Meshcentral y SystemBC, en respuesta a los pasos iniciales de contención y remediación realizados por la víctima
- 14 de diciembre de 2024 – presente -Intenta infiltrarse nuevamente en la red explotando vulnerabilidades de biotime conocidas (CVE-2023-38950, CVE-2023-38951 y CVE-2023-38952) y ataques de pasas de tiro dirigidos a 11 de los empleados a Harvest Microsoft 365 credenciales posteriormente de los credenciales de la víctima de victimismo que eliminó el circunstancial de los adversario de victimidad con éxito.
Vale la pena señalar que tanto Havoc como MeshCentral son herramientas de código descubierto que funcionan como un ámbito de comando y control (C2) y software de monitoreo y diligencia remota (RMM), respectivamente. Por otro flanco, SystemBC se refiere a un malware de productos básicos que a menudo actúa como un precursor de la implementación de ransomware.
Una breve descripción de las otras familias de malware personalizadas y las herramientas de código descubierto utilizadas en el ataque están a continuación –
- Hanifnet – Un ejecutable de .NET sin firmar que puede recuperar y ejecutar comandos de un servidor C2 (implementado por primera vez en agosto de 2023)
- Hxlibrary – Un módulo IIS sagaz escrito en .NET que está diseñado para recuperar tres archivos de texto idénticos alojados en Google Docs para obtener el servidor C2 y enviarle solicitudes web (implementados por primera vez en octubre de 2023)
- Fiel – Una utensilio basada en DLL que puede cosechar credenciales del Servicio del Servicio del Subsistema de la Autoridad de Seguridad Regional de Windows (LSASS) Memoria del proceso (implementado por primera vez en noviembre de 2023)
- Remotinjector – Un componente del cargador que se usa para ejecutar la carga útil de la próxima etapa como Havoc (implementado por primera vez en abril de 2024)
- Recshell – Un shell web utilizado para el inspección original (desplegado por primera vez en abril de 2024)
- Neoexpressrat – Una puerta trasera que recupera una configuración del servidor C2 y probablemente usa Discord para las comunicaciones de seguimiento (implementado por primera vez en agosto de 2024)
- Dropshell – Un shell web con capacidades básicas de carga de archivos (implementado por primera vez en noviembre de 2024)
- DarkloadLibrary – Un cargador de código descubierto que se utiliza para iniciar SystemBC (implementado por primera vez en diciembre de 2024)
Los enlaces a la tormenta de arena de limonada provienen de la infraestructura C2 – apps.gist.githubapp (.) Net y gupdate (.) Net – previamente afectado como asociado con las operaciones del actor de amenaza realizadas durante el mismo período.
Fortinet dijo que la red de tecnología operativa restringida (OT) de la víctima era un objetivo esencia del ataque basado en la extensa actividad de inspección del actor de amenaza y su incumplimiento de un segmento de red que aloja sistemas de OT-Ajacentes. Dicho esto, no hay evidencia de que el adversario penetrara en la red OT.
Se ha evaluado que la mayoría de la actividad maliciosa es operaciones prácticas de teclado llevadas a mango por diferentes individuos, dados los errores de comando y el horario de trabajo consistente. Encima, un examen más profundo del incidente ha revelado que el actor de amenaza pudo acaecer tenido paso a la red a partir del 15 de mayo de 2021.
“A lo extenso de la intrusión, el atacante aprovechó proxies encadenados e implantes personalizados para evitar la segmentación de la red y moverse lateralmente adentro del entorno”, dijo la compañía. “En etapas posteriores, encadenaron constantemente cuatro herramientas proxy diferentes para obtener a segmentos de red internos, lo que demuestra un enfoque sofisticado para sostener la persistencia y evitar la detección”.
