Un attore sostenuto dal governo iraniano noto come Mint Sandstorm è stato collegato ad attacchi rivolti a infrastrutture critiche negli Stati Uniti tra la fine del 2021 e la metà del 2022.
Mint Sandstorm e le sue capacità
Questo sottogruppo di Mint Sandstorm è tecnicamente e operativamente maturo, capace di sviluppare strumenti su misura e di sfruttare rapidamente le vulnerabilità N-day. Secondo il team di Microsoft Threat Intelligence, il suo focus operativo sembra allinearsi con le priorità nazionali dell’Iran.
Gli obiettivi degli attacchi
Le entità colpite comprendono porti marittimi, aziende energetiche, sistemi di trasporto e una grande utility e compagnia di gas statunitense. Si ritiene che queste attività siano ritorsioni in risposta agli attacchi subiti dall’Iran tra maggio 2020 e la fine del 2021, che hanno colpito i suoi sistemi di pagamento delle stazioni di servizio, ferroviari e marittimi.
Cambio di nome e affiliazioni
Mint Sandstorm è il nuovo nome assegnato all’attore minaccioso precedentemente monitorato da Microsoft con il nome di Phosphorus, noto anche come APT35, Charming Kitten, ITG18, TA453 e Yellow Garuda. A differenza di MuddyWater, che opera per conto del Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS), si ritiene che Mint Sandstorm sia associato al Corpo delle Guardie della Rivoluzione Islamica (IRGC).
Tattiche e strumenti utilizzati
Gli attacchi descritti da Microsoft evidenziano la capacità dell’avversario di affinare costantemente le sue tattiche attraverso campagne di phishing mirate per ottenere l’accesso agli ambienti presi di mira. Questo include l’adozione rapida di proof-of-concept (PoC) pubblicamente divulgati legati a difetti nelle applicazioni esposte su Internet (ad esempio, CVE-2022-47966 e CVE-2022-47986) nei loro playbooks per l’accesso iniziale e la persistenza.
Conseguenze di un attacco riuscito
Un’incursione riuscita è seguita dal dispiegamento di uno script PowerShell personalizzato, utilizzato per attivare una delle due catene di attacco. La prima catena si basa su ulteriori script PowerShell per connettersi a un server remoto e rubare database di Active Directory, mentre la seconda prevede l’uso di Impacket per connettersi a un server controllato dall’attore e distribuire un impianto personalizzato chiamato Drokbk e Soldier. Soldier è un backdoor multi-stadio basato su .NET con la capacità di scaricare ed eseguire strumenti e disinstallare se stesso.
Drokbk e Soldier, gli strumenti degli hacker
Drokbk è stato precedentemente descritto dall’unità Secureworks Counter Threat (CTU) nel dicembre 2022, che lo ha attribuito a un attore minaccioso noto come Nemesis Kitten (anche conosciuto come Cobalt Mirage, TunnelVision o UNC2448), un sottogruppo di Mint Sandstorm.
Campagne di phishing a basso volume e il backdoor CharmPower
Microsoft ha inoltre evidenziato come l’attore minaccioso conduca campagne di phishing a basso volume che culminano nell’utilizzo di un terzo backdoor personalizzato e modulare denominato CharmPower. Questo malware basato su PowerShell è in grado di leggere file, raccogliere informazioni sull’host e sottrarre dati.
Preoccupazioni riguardo alle capacità del sottogruppo Mint Sandstorm
Le capacità osservate nelle intrusioni attribuite a questo sottogruppo di Mint Sandstorm sono preoccupanti, in quanto consentono agli operatori di nascondere la comunicazione C2, persistere in un sistema compromesso e distribuire una serie di strumenti post-compromissione con diverse funzionalità. Microsoft sottolinea l’importanza di proteggere le infrastrutture critiche e di rimanere vigili di fronte a queste minacce.