Microsoft:伊朗駭客組織轉向攻擊美國關鍵基礎設施
編譯/鄭智懷
Microsoft追蹤受德黑蘭當局支持的駭客組織Mint Sandstorm—過去又稱PHOSPHORUS—近期行動發現,正轉向直接攻擊美國關鍵基礎設施(CI),所使用的工具、技術與程序(TTP)也正逐漸改變,破壞力、攻擊速度及範圍隨之同步提升。
研究團隊指出,Mint Sandstorm由2021年年底至2022年的行動變化可能是德黑蘭當局為了報復在2020年5月至2021年10月期間,國內港口、鐵路與加油站等公共設施因網路攻擊而中斷或崩潰。分析指出,該駭客組織已經由過去以偵查為主,轉為直接攻擊美國關鍵基礎設施如海港、能源產業、運輸系統、主要公共設施和天然氣公司。
至於在工具、技術與程序上,首先要注意的是Mint SandstormN搜尋並武器化已知安全漏洞的速度明顯加快。過去,該組織的團隊至少要花上數周的時間才能找到如何運用Proxyshell和Log4Shell等漏洞的方法;但在2023年1月,僅用一天和五天的時間,就各自解決Zoho ManageEngine與 Aspera Faspex漏洞的技術障礙,並投入實際運用。
據Microsoft觀察,Mint Sandstorm所使用的自製惡意程式主要有三款,分別為Soldie、Drokbk與CharmPower。前兩者可以透過原始碼代管服務平台GitHub登入命令與控制網域(Command-and-Control Domain),更新基礎設施;第三者則用來發動對歐美國家及以色列的安全與政策圈相關人士的魚叉式網路釣魚(Spear Phishing)行動,遠端控制受害者被感染的設備並竊取其中資料。
團隊警告,基於Mint Sandstorm已經掌握隱藏命令與控制通訊技術,可以在受害者未察覺的前提下,持續維持與擴大對被感染設備的控制,該組織未來的威脅性也會不斷提升,值得各界追蹤與觀察,以防止進一步的攻擊。
資料來源:Microsoft
瀏覽 620 次
