تم ربط ممثل مدعوم من الحكومة الإيرانية يعرف باسم Mint Sandstorm بهجمات تستهدف البنية التحتية الحيوية في الولايات المتحدة بين أواخر عام 2021 إلى منتصف عام 2022.
قال فريق Microsoft Threat Intelligence في Microsoft Threat Intelligence: "هذه المجموعة الفرعية من Mint Sandstorm ناضجة تقنيًا وعمليًا ، وقادرة على تطوير أدوات مخصصة وتسليح نقاط الضعف في أيام N بسرعة ، وأظهرت خفة الحركة في تركيزها التشغيلي ، والذي يبدو أنه يتماشى مع أولويات إيران الوطنية". تحليل.
تتكون الكيانات المستهدفة من الموانئ البحرية وشركات الطاقة وأنظمة النقل وشركة المرافق والغاز الأمريكية الكبرى. يُشتبه في أن هذا النشاط انتقامي وردا على الهجمات التي استهدفت أنظمة الدفع البحرية والسكك الحديدية ومحطات الوقود التي حدثت بين مايو 2020 وأواخر 2021.
تجدر الإشارة هنا إلى أن إيران اتهمت لاحقًا إسرائيل والولايات المتحدة بتدبير الهجمات على محطات الوقود في محاولة لإثارة الاضطرابات في البلاد.
Mint Sandstorm هو الاسم الجديد المخصص لممثل التهديد الذي كانت Microsoft تتعقبه سابقًا تحت اسم Phosphorus ، ويتم مراقبته أيضًا من قبل بائعي الأمن السيبراني الآخرين مثل APT35 و Charming Kitten و ITG18 و TA453 و Yellow Garuda.
التغيير في التسمية هو جزء من تحول Microsoft من ألقاب مستوحاة من العناصر الكيميائية إلى تصنيف جديد لتسمية الفاعل تحت عنوان الطقس ، مدفوعًا جزئيًا "بالتعقيد المتزايد وحجم وحجم التهديدات".
على عكس MuddyWater (المعروف أيضًا باسم Mercury أو Mango Sandstorm) ، المعروف أنه يعمل نيابة عن وزارة الاستخبارات والأمن الإيرانية (MOIS) ، يُقال إن Mint Sandstorm مرتبط بفيلق الحرس الثوري الإسلامي (IRGC).
وهذا يشمل التبني السريع لإثبات المفاهيم المعلن عنه (PoCs) المرتبط بالعيوب في التطبيقات التي تواجه الإنترنت (على سبيل المثال ، CVE-2022-47966 و CVE-2022-47986 ) في كتيبات اللعب الخاصة بهم للوصول الأولي والمثابرة.
لا يقتصر الأمر على العيوب التي تم الكشف عنها حديثًا ، حيث استمر الفاعل في استخدام نقاط الضعف القديمة ، وخاصة Log4Shell ، لتسوية الأجهزة التي لم يتم إصلاحها كجزء من الهجمات الانتهازية والعشوائية.
يتبع الاختراق الناجح نشر نص برمجي PowerShell مخصص ، والذي يتم استخدامه بعد ذلك لتنشيط إحدى سلسلتي الهجوم ، حيث يعتمد أولهما على برامج PowerShell النصية الإضافية للاتصال بخادم بعيد وسرقة قواعد بيانات Active Directory.
يتضمن التسلسل الآخر استخدام Impacket للاتصال بخادم يتحكم فيه الممثل ونشر غرسة مخصصة تسمى Drokbk and Soldier ، مع كون الأخير عبارة عن باب خلفي متعدد المراحل مع إمكانية تنزيل الأدوات وتشغيلها وإلغاء تثبيت نفسه.
تم تفصيل Drokbk مسبقًا بواسطة Secureworks Counter Threat Unit (CTU) في ديسمبر 2022 ، ونسبه إلى ممثل تهديد معروف باسم Nemesis Kitten (المعروف أيضًا باسم Cobalt Mirage أو TunnelVision أو UNC2448) ، وهي مجموعة فرعية من Mint Sandstorm.
دعت Microsoft أيضًا ممثل التهديد لإجراء حملات تصيد احتيالية منخفضة الحجم تبلغ ذروتها في استخدام باب خلفي ثالث مخصص ونموذجي يُشار إليه باسم CharmPower ، وهو برنامج ضار قائم على PowerShell يمكنه قراءة الملفات وجمع معلومات المضيف واستخراج البيانات.
وأضاف العملاق التكنولوجي: "القدرات التي لوحظت في عمليات الاقتحام المنسوبة إلى هذه المجموعة الفرعية Mint Sandstorm مثيرة للقلق لأنها تسمح للمشغلين بإخفاء اتصالات C2 ، والاستمرار في نظام مخترق ، ونشر مجموعة من أدوات ما بعد الاختراق بقدرات متفاوتة".