Kelompok ancaman yang disponsori negara Iran telah dikaitkan dengan intrusi cyber jangka panjang yang ditujukan untuk Infrastruktur Nasional Kritis (CNI) di Timur Tengah yang berlangsung hampir dua tahun.
Kegiatan ini, yang berlangsung setidaknya dari Mei 2023 hingga Februari 2025, mensyaratkan “operasi spionase yang luas dan dugaan preposisi jaringan – taktik yang sering digunakan untuk mempertahankan akses yang persisten untuk keunggulan strategis di masa depan,” kata tim Fortiguard Inscident Response (FGIR) dalam sebuah laporan.
Perusahaan keamanan jaringan mencatat bahwa serangan itu menunjukkan Tradecraft tumpang tindih dengan aktor ancaman negara-bangsa Iran yang dikenal Lemon Sandstorm (sebelumnya Rubidium), yang juga dilacak sebagai Parisite, Pioneer Kitten, dan UNC757.
Sudah dinilai aktif sejak setidaknya 2017, sektor kedirgantaraan, minyak dan gas, air, dan listrik di seluruh Amerika Serikat, Timur Tengah, Eropa, dan Australia. Menurut perusahaan cybersecurity industri Dragos, musuh telah memanfaatkan kelemahan keamanan Virtual Private Network (VPN) yang diketahui di Fortinet, Pulse Secure, dan Palo Alto Networks untuk mendapatkan akses awal.
Tahun lalu, badan cybersecurity dan intelijen AS menunjuk jari ke Lemon Sandstorm untuk menggunakan ransomware terhadap entitas di AS, Israel, Azerbaijan, dan Uni Emirat Arab.
Serangan yang dianalisis oleh Fortinet terhadap entitas CNI dibuka selama empat tahap mulai dari Mei 2023, menggunakan gudang alat yang berkembang ketika korban memberlakukan tindakan balasan –
- 15 Mei, 2023 – 29 April, 2024 -Membangun pijakan dengan menggunakan kredensial login curian untuk mengakses sistem SSL VPN korban, menjatuhkan cangkang web di server yang menghadap publik, dan menggunakan tiga backdoors, havoc, hanifnet, dan hxlibrary, untuk akses jangka panjang
- 30 April, 2024 – 22 November, 2024 – Konsolidasi pijakan dengan menanam lebih banyak kerang web dan pintu belakang tambahan yang disebut neoexpressrat, menggunakan alat -alat seperti Plink dan Ngrok untuk menggali lebih dalam ke jaringan, melakukan eksfiltrasi yang ditargetkan dari email korban, dan melakukan gerakan lateral ke infrastruktur virtualisasi virtualisasi, dan melakukan infrastruktur virtualisasi virtualisasi, dan melakukan virtualisasi virtualisasi virtualisasi, dan melakukan virtualisasi virtualisasi virtualisasi, dan melakukan virtualisasi virtualisasi virtualisasi, dan melakukan virtualisasi virtualisasi virtualisasi, dan melakukan virtualisasi virtualisasi
- 23 November, 2024 – 13 Desember, 2024 – Menyebarkan lebih banyak kerang web dan dua backdoors lagi, agen meshcentral dan systembc, sebagai tanggapan terhadap penahanan awal dan langkah -langkah perbaikan yang dilakukan oleh korban
- 14 Desember, 2024 – Hadir -Upaya untuk menyusup ke jaringan lagi dengan mengeksploitasi kerentanan biotime yang diketahui (CVE-2023-38950, CVE-2023-38951, dan CVE-2023-38952) dan serangan phishing yang ditujukan untuk 11 karyawan untuk memanen kredensial Microsoft 365 yang bertujuan dengan sukses dengan sukses menghapus dengan sukses dengan sukses dengan sukses dengan sukses dengan sukses menghapuskan Microsoft.
Perlu dicatat bahwa baik Havoc dan MeshCentral adalah alat open-source yang berfungsi sebagai kerangka kerja perintah-dan-kontrol (C2) dan perangkat lunak pemantauan dan manajemen jarak jauh (RMM) masing-masing. Di sisi lain, SystemBC mengacu pada malware komoditas yang sering bertindak sebagai pendahulu penempatan ransomware.
Deskripsi singkat tentang malware kustom yang digunakan dalam serangan di bawah ini –
- Hanifnet – .NET yang tidak ditandatangani dieksekusi yang dapat mengambil dan menjalankan perintah dari server C2 (pertama kali digunakan pada Agustus 2023)
- HXLibrary – Modul IIS berbahaya yang ditulis dalam .net yang dirancang untuk mengambil tiga file teks identik yang di -host di Google Documents untuk mengambil server C2 dan mengirim permintaan web ke sana (pertama kali digunakan pada Oktober 2023)
- CredInterceptor – Alat berbasis DLL yang dapat memanen kredensial dari Windows Local Security Authority Subsystem Service (LSASS) memproses memori (pertama kali digunakan pada November 2023)
- Remoteinjector – Komponen loader yang digunakan untuk menjalankan muatan tahap berikutnya seperti Havoc (pertama kali digunakan pada bulan April 2024)
- Terulang kembali – Shell web yang digunakan untuk pengintaian awal (pertama kali digunakan pada bulan April 2024)
- NeoExpressrat – Sebuah pintu belakang yang mengambil konfigurasi dari server C2 dan kemungkinan menggunakan perselisihan untuk komunikasi lanjutan (pertama kali digunakan pada Agustus 2024)
- Dropshell – Shell web dengan kemampuan unggahan file dasar (pertama kali digunakan pada November 2024)
- Darkloadlibrary – Loader open-source yang digunakan untuk meluncurkan SystemBC (pertama kali digunakan pada Desember 2024)
Tautan ke Lemon Sandstorm berasal dari infrastruktur C2 – apps.gist.githubapp[.]net dan gupdate[.]NET – sebelumnya ditandai sebagai terkait dengan operasi aktor ancaman yang dilakukan selama periode yang sama.
Fortinet mengatakan jaringan Teknologi Operasional Terbatas (OT) korban adalah target utama serangan berdasarkan aktivitas pengintaian aktor ancaman yang luas dan pelanggaran mereka terhadap segmen jaringan yang menampung sistem yang berdekatan OT. Yang mengatakan, tidak ada bukti bahwa musuh menembus jaringan PL.
Mayoritas kegiatan jahat telah dinilai sebagai operasi keyboard langsung yang dilakukan oleh individu yang berbeda, mengingat kesalahan perintah dan jadwal kerja yang konsisten. Selain itu, pemeriksaan yang lebih dalam atas insiden tersebut telah mengungkapkan bahwa aktor ancaman mungkin memiliki akses ke jaringan pada awal 15 Mei 2021.
“Sepanjang intrusi, penyerang memanfaatkan proxy rantai dan implan khusus ke segmentasi jaringan bypass dan bergerak secara lateral di dalam lingkungan,” kata perusahaan itu. “Pada tahap selanjutnya, mereka secara konsisten merantai empat alat proxy yang berbeda untuk mengakses segmen jaringan internal, menunjukkan pendekatan canggih untuk mempertahankan kegigihan dan menghindari deteksi.”
