Microsoft a découvert qu’un groupe de piratage informatique iranien connu sous le nom de « Mint Sandstorm » menait des cyberattaques contre des infrastructures critiques américaines en représailles aux récentes attaques contre les infrastructures iraniennes.
Mint Sandstorm est le nouveau nom du groupe de piratage Phosphorous, censé travailler pour le gouvernement iranien et lié au Corps des gardiens de la révolution islamique (CGRI).
Dans un nouveau rapport, des chercheurs de l’équipe Threat Intelligence de Microsoft expliquent qu’un sous-groupe de Mint Sandstorm est passé de la surveillance en 2022 à des attaques directes sur les infrastructures critiques américaines.
La théorie est que ces intrusions sont en représailles aux attaques contre les infrastructures iraniennes que le pays a attribuées aux États-Unis et à Israël. Il s’agit notamment d’attaques destructrices contre le système ferroviaire iranien en juin 2021 et d’une cyberattaque provoquant une panne dans les stations-service iraniennes en octobre 2021.
Microsoft pense que le gouvernement iranien accorde désormais aux acteurs de la menace parrainés par l’État plus de liberté lors de la conduite d’attaques, ce qui entraîne une augmentation globale des cyberattaques.
« Ce ciblage a également coïncidé avec une augmentation plus large du rythme et de la portée des cyberattaques attribuées aux acteurs de la menace iraniens, y compris un autre sous-groupe Mint Sandstorm, que Microsoft a observé à partir de septembre 2021 », avertit Microsoft dans le rapport d’aujourd’hui sur Mint Sandstorm.
« L’agression accrue des acteurs de la menace iranienne semble être en corrélation avec d’autres actions du régime iranien dans le cadre d’un nouvel appareil de sécurité nationale, ce qui suggère que ces groupes sont moins limités dans leurs opérations. »
L’année dernière, le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor a sanctionné dix personnes et deux entités affiliées au Corps des gardiens de la révolution islamique (CGRI) iranien, dont les activités chevauchent celles attribuées à Phosphorus.
Déploiement de logiciels malveillants personnalisés
Microsoft affirme que ce nouveau sous-groupe de Mint Sandstorm utilise couramment des exploits de preuve de concept au fur et à mesure qu’ils deviennent publics, car la société a observé une attaque utilisant un Zoho ManageEngine PoC le jour même de sa sortie.
En plus des exploits N-day, qui sont du code pour tirer parti des vulnérabilités connues, les acteurs de la menace ont également utilisé des vulnérabilités plus anciennes, telles que Log4Shell, pour violer des appareils non corrigés.
Une fois qu’ils ont accès à un réseau, les pirates lancent un script PowerShell personnalisé pour collecter des informations sur l’environnement afin de déterminer s’il est de grande valeur.
Les pirates utilisent ensuite le framework Impacket pour se propager latéralement sur le réseau tout en menant l’une des deux chaînes d’attaque.
La première chaîne d’attaque conduit au vol de la base de données Windows Active Directory de la cible, qui peut être utilisée pour obtenir les informations d’identification des utilisateurs qui peuvent aider les pirates à poursuivre l’intrusion ou à échapper à la détection sur le réseau.
La deuxième chaîne d’attaque consiste à déployer des logiciels malveillants de porte dérobée personnalisés appelés Drokbk et Soldier ; les deux sont utilisés pour maintenir la persistance sur les réseaux compromis et déployer des charges utiles supplémentaires.
Selon Microsoft, Drokbk (Drokbk.exe) [VirusTotal] est une application .NET qui se compose d’un programme d’installation et d’une charge utile de porte dérobée qui récupère une liste d’adresses de serveur de commande et de contrôle à partir d’un fichier README sur un référentiel GitHub contrôlé par l’attaquant.
Le malware Soldier est également une porte dérobée .NET qui peut télécharger et exécuter des charges utiles supplémentaires et se désinstaller. Comme Drokbk, il récupère une liste de serveurs de commande et de contrôle à partir d’un référentiel GitHub.
En plus d’utiliser des exploits pour violer les réseaux, Microsoft affirme que les attaquants ont mené des attaques de phishing à faible volume contre un petit nombre de victimes ciblées.
Ces attaques de phishing comprenaient des liens vers des comptes OneDrive hébergeant des fichiers PDF usurpés pour contenir des informations sur la sécurité ou la politique au Moyen-Orient. Ces fichiers PDF incluent également des liens vers un modèle Word malveillant qui utilisait l’injection de modèle pour exécuter une charge utile sur l’appareil.
Ces attaques de phishing ont été utilisées pour déployer le framework de post-exploitation CharmPower PowerShell pour la persistance et l’exécution d’autres commandes.
« Les capacités observées dans les intrusions attribuées à ce sous-groupe Mint Sandstorm sont préoccupantes car elles permettent aux opérateurs de dissimuler la communication C2, de persister dans un système compromis et de déployer une gamme d’outils post-compromis avec des capacités variables », prévient Microsoft.
« Bien que les effets varient en fonction des activités post-intrusion des opérateurs, même l’accès initial peut permettre un accès non autorisé et faciliter d’autres comportements susceptibles de nuire à la confidentialité, à l’intégrité et à la disponibilité d’un environnement. »
Microsoft recommande d’utiliser des règles de réduction de la surface d’attaque pour bloquer les exécutables qui ne répondent pas à des critères spécifiques :
- Bloquer l’exécution des fichiers exécutables à moins qu’ils ne répondent à un critère de prévalence, d’âge ou de liste de confiance
- Empêcher les applications Office de créer du contenu exécutable
- Bloquer les créations de processus provenant des commandes PSExec et WMI
Étant donné que les acteurs de la menace s’appuient fortement sur les vulnérabilités pour l’accès initial aux réseaux d’entreprise, Microsoft recommande aux entreprises d’appliquer les mises à jour de sécurité dès que possible.
Une attention particulière doit être accordée aux correctifs d’IBM Aspera Faspex, Zoho ManageEngine et Apache Log4j2, car ils sont des cibles connues pour les acteurs de la menace.