Microsoft telah menemukan bahwa kelompok peretas Iran yang dikenal sebagai ‘Mint Sandstorm’ sedang melakukan serangan dunia maya pada infrastruktur penting AS yang diyakini sebagai pembalasan atas serangan baru-baru ini terhadap infrastruktur Iran.
Badai Pasir Mint adalah nama baru Untuk Grup peretasan fosfordiyakini bekerja untuk pemerintah Iran dan terkait dengan Korps Pengawal Revolusi Islam (IRGC).
Dalam sebuah laporan baru, para peneliti di tim Threat Intelligence Microsoft menjelaskan bahwa subgrup Mint Sandstorm beralih dari melakukan pengawasan pada tahun 2022 menjadi melakukan serangan langsung terhadap infrastruktur penting AS.
Teorinya adalah bahwa intrusi ini sebagai pembalasan atas serangan terhadap infrastruktur Iran yang dikaitkan negara tersebut dengan AS dan Israel. Ini termasuk serangan destruktif pada sistem kereta api Iran pada Juni 2021 dan a serangan siber yang menyebabkan pemadaman di pompa bensin Iran pada Oktober 2021.
Microsoft percaya bahwa pemerintah Iran sekarang memberikan lebih banyak kebebasan kepada pelaku ancaman yang disponsori negara saat melakukan serangan, yang mengarah ke peningkatan serangan dunia maya secara keseluruhan.
“Penargetan ini juga bertepatan dengan peningkatan yang lebih luas dalam kecepatan dan cakupan serangan siber yang dikaitkan dengan aktor ancaman Iran, termasuk subkelompok Mint Sandstorm lainnya, yang diamati Microsoft mulai September 2021,” Microsoft memperingatkan dalam laporan hari ini. melaporkan Badai Pasir Mint.
“Meningkatnya agresi aktor ancaman Iran tampaknya berkorelasi dengan gerakan lain oleh rezim Iran di bawah aparat keamanan nasional yang baru, menyarankan kelompok semacam itu kurang dibatasi dalam operasi mereka.”
Tahun lalu, Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan sanksi sepuluh individu dan dua entitas berafiliasi dengan Korps Pengawal Revolusi Islam Iran (IRGC), yang aktivitasnya tumpang tindih dengan yang dikaitkan dengan Fosfor.
Menyebarkan malware khusus
Microsoft mengatakan bahwa subgrup baru Mint Sandstorm ini biasanya menggunakan eksploitasi proof-of-concept saat dipublikasikan, karena perusahaan mengamati serangan menggunakan Zoho ManageEngine PoC pada hari yang sama saat dirilis.
Selain eksploitasi N-day, yang merupakan kode untuk memanfaatkan kerentanan yang diketahui, pelaku ancaman juga menggunakan kerentanan lama, seperti Log4Shell, untuk menembus perangkat yang belum ditambal.
Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman meluncurkan skrip PowerShell khusus untuk mengumpulkan informasi tentang lingkungan untuk menentukan apakah itu bernilai tinggi.
Peretas kemudian menggunakan kerangka kerja Impacket untuk menyebar secara lateral di jaringan sambil melakukan salah satu dari dua rangkaian serangan.
Rantai serangan pertama mengarah pada pencurian database Windows Active Directory target, yang dapat digunakan untuk mendapatkan kredensial pengguna yang dapat membantu peretas melanjutkan intrusi atau menghindari deteksi di jaringan.
Sumber: Microsoft
Rantai serangan kedua adalah menyebarkan malware backdoor khusus yang disebut Drokbk and Soldier; keduanya digunakan untuk mempertahankan persistensi pada jaringan yang disusupi dan menerapkan muatan tambahan.
Microsoft mengatakan Drokbk (Drokbk.exe) [VirusTotal] adalah aplikasi .NET yang terdiri dari penginstal dan payload pintu belakang yang mengambil daftar alamat server perintah dan kontrol dari file README pada repositori GitHub yang dikontrol penyerang.
Malware Soldier juga merupakan pintu belakang .NET yang dapat mengunduh dan menjalankan muatan tambahan dan mencopot pemasangannya sendiri. Seperti Drokbk, Drokbk mengambil daftar server perintah dan kontrol dari repositori GitHub.
Selain memanfaatkan eksploit untuk menembus jaringan, Microsoft mengatakan para penyerang melakukan serangan phishing volume rendah terhadap sejumlah kecil korban yang ditargetkan.
Serangan phishing ini menyertakan tautan ke akun OneDrive yang menghosting PDF palsu untuk memuat informasi tentang keamanan atau kebijakan di Timur Tengah. PDF ini juga menyertakan tautan untuk templat Word berbahaya yang menggunakan injeksi templat untuk menjalankan muatan di perangkat.
Sumber: BleepingComputer
Serangan phishing ini digunakan untuk menyebarkan Kerangka pasca-eksploitasi CharmPower PowerShell untuk ketekunan dan menjalankan perintah lebih lanjut.
“Kemampuan yang diamati dalam intrusi yang dikaitkan dengan subgrup Mint Sandstorm ini memprihatinkan karena memungkinkan operator untuk menyembunyikan komunikasi C2, bertahan dalam sistem yang disusupi, dan menyebarkan berbagai alat pasca-kompromi dengan berbagai kemampuan,” Microsoft memperingatkan.
“Sementara efek bervariasi tergantung pada aktivitas pasca-intrusi operator, bahkan akses awal dapat mengaktifkan akses tidak sah dan memfasilitasi perilaku lebih lanjut yang dapat berdampak buruk pada kerahasiaan, integritas, dan ketersediaan lingkungan.”
Microsoft merekomendasikan menggunakan aturan pengurangan permukaan serangan untuk memblokir executable yang tidak memenuhi kriteria tertentu:
- Blokir file yang dapat dieksekusi agar tidak berjalan kecuali memenuhi kriteria prevalensi, usia, atau daftar tepercaya
- Blokir aplikasi Office dari membuat konten yang dapat dieksekusi
- Blokir kreasi proses yang berasal dari perintah PSExec dan WMI
Karena pelaku ancaman sangat bergantung pada kerentanan untuk akses awal ke jaringan perusahaan, Microsoft menganjurkan agar organisasi menerapkan pembaruan keamanan sesegera mungkin.
Perhatian khusus harus diberikan untuk menambal IBM Aspera Faspex, Zoho ManageEngine, dan Apache Log4j2, karena mereka dikenal sebagai target pelaku ancaman.
