Un grupo de amenazas patrocinado por el estado iraní se ha atribuido a una intrusión cibernética a largo plazo dirigida a una infraestructura nacional crítica (CNI) en el Medio Oriente que duró casi dos años.
La actividad, que duró de al menos 2023 hasta febrero de 2025, implicaba «operaciones de espionaje extensas y sospecha de preposición de la red, una táctica que a menudo se usa para mantener un acceso persistente para una ventaja estratégica futura», dijo el equipo de Respuesta de Incidentes de Fortiguard (FGIR) en un informe.
La compañía de seguridad de la red señaló que el ataque exhibe la artesanía superpuesta con un conocido actor de amenaza de estado-estado de la nación iraní que llamó Tormenta de arena de limón (anteriormente Rubidium), que también se rastrea como Parisite, Pioneer Kitten y UNC757.
Se ha evaluado que está activo desde al menos 2017, sorprendente a los sectores aeroespaciales, de petróleo y gas, agua y eléctricos en los Estados Unidos, Medio Oriente, Europa y Australia. Según la compañía de seguridad cibernética industrial Dragos, el adversario ha aprovechado las fallas de seguridad de la red privada virtual (VPN) conocidos en las redes de Fortinet, Pulse Secure y Palo Alto para obtener acceso inicial.
El año pasado, las agencias de ciberseguridad e inteligencia de los Estados Unidos señalaron los dedos de Lemon Sandstorm para desplegar ransomware contra entidades en los Estados Unidos, Israel, Azerbaiyán y los Emiratos Árabes Unidos.
El ataque analizado por Fortinet contra la entidad CNI se desarrolló en cuatro etapas a partir de mayo de 2023, empleando un arsenal en evolución de herramientas a medida que la víctima promulgó contramedidas,
- 15 de mayo de 2023 – 29 de abril de 2024 -Establecer un punto de apoyo mediante el uso de credenciales de inicio de sesión robadas para acceder al sistema VPN SSL de la víctima, soltar capas web en servidores de orientación pública e implementar tres puertas traseras, HAVOC, Hanifnet y HxLibrary, para un acceso a largo plazo
- 30 de abril de 2024 – 22 de noviembre de 2024 – Consolidar el punto de apoyo plantando más conchas web y una puerta trasera adicional llamada NeoExpressRat, utilizando herramientas como Plink y Ngrok para excavar más profundamente en la red, realizando la exfiltración dirigida de los correos electrónicos de la víctima y realizando un movimiento lateral a la infraestructura de virtualización
- 23 de noviembre de 2024 – 13 de diciembre de 2024 – Implementar más proyectiles web y dos puertas traseras más, agente Meshcentral y SystemBC, en respuesta a los pasos iniciales de contención y remediación realizados por la víctima
- 14 de diciembre de 2024 – presente -Intenta infiltrarse nuevamente en la red explotando vulnerabilidades de biotime conocidas (CVE-2023-38950, CVE-2023-38951 y CVE-2023-38952) y ataques de pasas de lanzamiento dirigidos a 11 de los empleados a Harvest Microsoft 365 credenciales después de los credenciales de la víctima de victimismo que eliminó el accesorio de los adversario de victimidad con éxito.
Vale la pena señalar que tanto Havoc como MeshCentral son herramientas de código abierto que funcionan como un marco de comando y control (C2) y software de monitoreo y gestión remota (RMM), respectivamente. Por otro lado, SystemBC se refiere a un malware de productos básicos que a menudo actúa como un precursor de la implementación de ransomware.
Una breve descripción de las familias de malware personalizadas utilizadas en el ataque está a continuación –
- Hanifnet – Un ejecutable de .NET sin firmar que puede recuperar y ejecutar comandos de un servidor C2 (implementado por primera vez en agosto de 2023)
- Hxlibrary – Un módulo IIS malicioso escrito en .NET que está diseñado para recuperar tres archivos de texto idénticos alojados en Google Docs para obtener el servidor C2 y enviarle solicitudes web (implementados por primera vez en octubre de 2023)
- Fiel – Una herramienta basada en DLL que puede recolectar credenciales del Servicio del Servicio del Subsistema de la Autoridad de Seguridad Local de Windows (LSASS) Memoria del proceso (implementado por primera vez en noviembre de 2023)
- Remotinjector – Un componente del cargador que se usa para ejecutar la carga útil de la próxima etapa como Havoc (implementado por primera vez en abril de 2024)
- Recshell – Un shell web utilizado para el reconocimiento inicial (desplegado por primera vez en abril de 2024)
- Neoexpressrat – Una puerta trasera que recupera una configuración del servidor C2 y probablemente usa Discord para las comunicaciones de seguimiento (implementado por primera vez en agosto de 2024)
- Dropshell – Un shell web con capacidades básicas de carga de archivos (implementado por primera vez en noviembre de 2024)
- DarkloadLibrary – Un cargador de código abierto que se utiliza para iniciar SystemBC (implementado por primera vez en diciembre de 2024)
Los enlaces a la tormenta de arena de limón provienen de la infraestructura C2 – apps.gist.githubapp (.) Net y gupdate (.) Net – previamente marcado como asociado con las operaciones del actor de amenaza realizadas durante el mismo período.
Fortinet dijo que la red de tecnología operativa restringida (OT) de la víctima era un objetivo clave del ataque basado en la extensa actividad de reconocimiento del actor de amenaza y su incumplimiento de un segmento de red que aloja sistemas de OT-Ajacentes. Dicho esto, no hay evidencia de que el adversario penetrara en la red OT.
Se ha evaluado que la mayoría de la actividad maliciosa es operaciones prácticas de teclado llevadas a cabo por diferentes individuos, dados los errores de comando y el horario de trabajo consistente. Además, un examen más profundo del incidente ha revelado que el actor de amenaza pudo haber tenido acceso a la red a partir del 15 de mayo de 2021.
«A lo largo de la intrusión, el atacante aprovechó proxies encadenados e implantes personalizados para evitar la segmentación de la red y moverse lateralmente dentro del entorno», dijo la compañía. «En etapas posteriores, encadenaron constantemente cuatro herramientas proxy diferentes para acceder a segmentos de red internos, lo que demuestra un enfoque sofisticado para mantener la persistencia y evitar la detección».