与伊朗有关的Mint Sandstorm APT针对美国关键基础设施

一个与伊朗有联系的 APT 组织被追踪为 Mint Sandstorm，是 2021 年底至 2022 年中期针对美国关键基础设施的一系列攻击的幕后黑手。

微软已将伊朗Mint Sandstorm APT（之前被微软追踪为PHOSPHORUS）与2021年底至2022年中期针对美国关键基础设施的一系列攻击联系起来。

这家 IT 巨头报告称，Mint Sandstorm正在改进其策略、技术和程序(TTP)。该组织通过使用公开披露的POC，迅速将流行企业应用程序中的N-day漏洞武器化。Mint Sandstorm还在选定的目标中使用自定义工具，特别是能源和交通部门的组织。

Mint Sandstorm针对私人和公共组织，包括持不同政见者、记者、活动家、国防工业基地(DIB）和多个政府机构的雇员，包括抗议中东压迫政权的个人。与 Mint Sandstorm 组织相关的活动与APT35、APT42、Charming Kitten和TA453等组织的公开报告重叠。

“微软评估Mint Sandstorm与伊朗军方的情报部门伊斯兰革命卫队(IRGC)有关，该评估已得到多个可靠来源的证实，包括Mandiant、Proofpoint和SecureWorks。”“2022 年，美国财政部以IRGC的赞助为由，对Mint Sandstorm过去的网络攻击进行了制裁。”

微软表示，从2021年末到2022年年中，Mint Sandstorm小组对美国关键基础设施发起了一系列攻击，包括海港、能源公司、运输系统以及美国一家主要的公用事业和天然气实体。这些攻击是为了报复针对国家铁路系统、伊朗主要海港的海上交通以及该国加油站支付系统的破坏性网络攻击。

一旦获得对组织的初始访问权限，威胁参与者就会部署自定义PowerShell脚本来收集有关目标的情报。如果受害者满足目标要求，该组织采用了两种可能的攻击链：

• 攻击链 1： 该组织使用Impacket进行横向移动，并广泛依赖PowerShell脚本（而不是自定义植入程序）来枚举管理员帐户并启用RDP连接。该组织为C2使用SSH隧道，并设法窃取Active Directory数据库以访问用户帐户的凭据。
• 攻击链2：该子组使用Impacket进行横向移动，然后依赖webhook.site进行C2并创建定时任务来保持持久性。在攻击的最后阶段，子组部署自定义恶意软件变体，例如Drokbk或Soldier，而不是使用公开可用的工具和简单脚本。 

微软还观察到与伊朗有联系的APT组织使用了另一个攻击链，涉及低容量网络钓鱼活动和不同的自定义植入。

“在归因于这个Mint Sandstorm子组的入侵中观察到的能力令人担忧，因为它们允许操作员隐藏 C2 通信，坚持受损系统，并部署一系列具有不同功能的妥协后工具。” 微软总结道。“成功的入侵会产生责任并可能损害组织的声誉，尤其是那些负责向其他人提供服务的组织，例如Mint Sandstorm过去曾针对的关键基础设施提供商。  

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5601.html