Een door Iraanse door de staat gesponsorde dreigingsgroep is toegeschreven aan een langdurige cyberinbreuk gericht op een kritische nationale infrastructuur (CNI) in het Midden-Oosten die bijna twee jaar duurde.
De activiteit, die duurde van ten minste mei 2023 tot februari 2025, hield in dat “uitgebreide spionage -operaties en vermoedelijke netwerkvoorpositionering – een tactiek die vaak wordt gebruikt om aanhoudende toegang te handhaven voor toekomstig strategisch voordeel”, zei het FGIR -team (FGIR) -team in een rapport.
Het Network Security Company merkte op dat de aanval Tradecraft vertoont overlapt met een bekende Iraanse natiestaatbedreigingsacteur genaamd Lemon Sandstorm (voorheen Rubidium), die ook wordt gevolgd als Parisite, Pioneer Kitten en UNC757.
Het is beoordeeld als actief sinds minstens 2017, waarbij sectoren zijn opgevallen, olie-, olie en gas-, water- en elektrische sectoren in de Verenigde Staten, het Midden -Oosten, Europa en Australië. Volgens industriële cybersecuritybedrijf Dragos heeft de tegenstander bekende virtuele private netwerk (VPN) beveiligingsfouten in Fortinet, Pulse Secure en Palo Alto -netwerken gebruikt om initiële toegang te verkrijgen.
Vorig jaar richtten Amerikaanse cybersecurity en inlichtingendiensten vingers op Lemon Sandstorm voor het inzetten van ransomware tegen entiteiten in de VS, Israël, Azerbeidzjan en de Verenigde Arabische Emiraten.
De aanval geanalyseerd door Fortinet tegen de CNI -entiteit ontvouwde zich over vier fasen vanaf mei 2023, met een evoluerend arsenaal aan gereedschappen terwijl het slachtoffer tegenmaatregelen uitvoerde –
- 15 mei, 2023 – 29 april, 2024 -Een voet aan de grond instellen door gestolen inloggegevens te gebruiken om toegang te krijgen tot het SSL VPN-systeem van het slachtoffer, webschalen op openbare servers laten vallen en drie backdoors, havoc, hanifnet en hxlibrary implementeren voor langdurige toegang
- 30 april, 2024 – 22 november, 2024 – Het vasthouden van de positie door meer webschalen te planten en een extra achterdeur genaamd NeoExpressrat, met behulp van tools zoals Plink en Ngrok om dieper in het netwerk te graven, gerichte exfiltratie van de e -mails van de slachtoffer uit te voeren en laterale beweging naar de virtualisatie -infrastructuur uit te voeren
- 23 november, 2024 – 13 december, 2024 – Implementeer meer webschalen en nog twee backdoors, meshcentrale agent en SystemBC, in reactie op initiële insluiting en saneringsstappen ondernomen door het slachtoffer
- 14 december, 2024 – aanwezig -Pogingen om het netwerk opnieuw te infiltreren door bekende kwetsbaarheden voor biotime te exploiteren (CVE-2023-38950, CVE-2023-38951, en CVE-2023-38952) en Spear-phishing-aanvallen gericht op 11 van de werknemers om Microsoft 365 credenties te oogsten na het succesvol
Het is vermeldenswaard dat zowel Havoc als Meshcentral open-source tools zijn die fungeren als een command-and-control (C2) framework en Remote Monitoring and Management (RMM) software, respectievelijk. Aan de andere kant verwijst SystemBC naar een grondstofmalware die vaak als een voorloper van ransomware -implementatie fungeert.
Een korte beschrijving van de aangepaste malwarefamilies die in de aanval worden gebruikt, is hieronder –
- Hanifnet – Een niet -ondertekend .NET -uitvoerbaar bestand dat opdrachten kan ophalen en uitvoeren van een C2 -server (eerst geïmplementeerd in augustus 2023)
- Hxlibrary – Een kwaadaardige IIS -module geschreven in .NET die is ontworpen om drie identieke tekstbestanden op te halen die op Google Documenten zijn gehost om de C2 -server op te halen en er webverzoeken naar te verzenden (eerst geïmplementeerd in oktober 2023)
- Credinterceptor – Een op DLL gebaseerd tool dat referenties kan oogsten van de Windows Local Security Authority Subsystem Service (LSASS) -procesgeheugen (eerst geïmplementeerd in november 2023)
- Afstandsbediening – Een ladercomponent die wordt gebruikt om de payload van de volgende fase uit te voeren zoals Havoc (voor het eerst geïmplementeerd in april 2024)
- Recloreren – Een webshell die wordt gebruikt voor eerste verkenning (voor het eerst geïmplementeerd in april 2024)
- Neoexpressrat – Een achterdeur die een configuratie van de C2-server haalt en waarschijnlijk Discord gebruikt voor vervolgcommunicatie (voor het eerst geïmplementeerd in augustus 2024)
- Dropshell – Een webshell met basis -uploadmogelijkheden voor bestandsbestand (voor het eerst geïmplementeerd in november 2024)
- Darkloadibrarium – Een open-source lader die wordt gebruikt om SystemBC te starten (voor het eerst geïmplementeerd in december 2024)
De links naar Lemon Sandstorm zijn afkomstig van C2 -infrastructuur – apps.gist.githubapp (.) Net en gupdate (.) Net – eerder gemarkeerd als geassocieerd met de activiteiten van de dreigingsacteur die in dezelfde periode werden uitgevoerd.
Fortinet zei dat het beperkte operationele technologie (OT) -netwerk van het slachtoffer een belangrijk doelwit was van de aanval op basis van de uitgebreide verkenningsactiviteit van de dreigingsacteur en hun schending van een netwerksegment dat OT-adjacent-systemen host. Dat gezegd hebbende, er is geen bewijs dat de tegenstander het OT -netwerk heeft doorgedrongen.
Een meerderheid van de kwaadaardige activiteit is beoordeeld als praktische toetsenbordactiviteiten die door verschillende personen worden uitgevoerd, gezien de commandotouten en het consistente werkschema. Bovendien heeft een dieper onderzoek van het incident aangetoond dat de dreigingsacteur al in 15 mei 2021 toegang heeft tot het netwerk.
“Tijdens de inbraak hef de aanvaller gebruikte proxy’s en aangepaste implantaten om netwerksegmentatie te omzeilen en lateraal te bewegen binnen het milieu,” zei het bedrijf. “In latere fasen hebben ze consequent vier verschillende proxy -tools geketend om toegang te krijgen tot interne netwerksegmenten, wat een geavanceerde benadering aantoont om persistentie te handhaven en detectie te voorkomen.”
