Un actor de amenazas asociado con hackers de estados-nación iraníes ha estado armando vulnerabilidades N-day, así como desplegando nuevas técnicas para acceder a entornos de interés.
El actor de amenaza es un subgrupo de Mint Sandstorm – una banda también conocida como Phosphorus y asociada con APT35, APT42, Charming Kitten y TA453 – informó un aviso publicado por Microsoft el martes.
“Este subgrupo de Mint Sandstorm es técnica y operativamente maduro, capaz de desarrollar herramientas a medida y convertir rápidamente en armas las vulnerabilidades del día N, y ha demostrado agilidad en su enfoque operativo, que parece alinearse con las prioridades nacionales de Irán”, escribió Microsoft.
El gigante tecnológico explicó que, entre finales de 2021 y mediados de 2022, el actor de la amenaza pasó del reconocimiento a los ataques directos contra infraestructuras críticas estadounidenses, que incluían puertos marítimos, compañías energéticas, sistemas de tránsito y una gran entidad estadounidense de servicios públicos y gas.
Entre las técnicas utilizadas por el subgrupo Mint Sandstorm se encuentra la adopción de código de prueba de concepto (POC) divulgado públicamente para explotar fallos en aplicaciones orientadas a Internet.
Además, desde 2022, el subgrupo ha comenzado a utilizar dos implantes .NET personalizados (apodados Drokbk y Soldier) para lograr la persistencia en las máquinas víctimas y descargar herramientas adicionales.
“Microsoft también ha observado que este subgrupo Mint Sandstorm utiliza una cadena de ataque distinta que implica campañas de phishing de bajo volumen y un tercer implante personalizado”, explicó la compañía.
Microsoft añadió que las nuevas intrusiones atribuidas al grupo son preocupantes, ya que permiten a los operadores ocultar la comunicación C2, así como persistir en un sistema comprometido, y desplegar varias herramientas post-compromiso con diferentes capacidades.
“Una intrusión exitosa crea responsabilidades y puede dañar la reputación de una organización, especialmente aquellas responsables de la prestación de servicios a terceros, como los proveedores de infraestructuras críticas, que Mint Sandstorm ha atacado en el pasado”.
Microsoft recomendó una serie de directrices de mitigación para protegerse contra este subgrupo de Mint Sandstorm, incluyendo el endurecimiento de los activos orientados a Internet y la reducción de la superficie de ataque a través de reglas incluidas en el aviso.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian