حمله سایبری به زیرساخت حیاتی خاورمیانه

به گزارش زوم تک از The Hacker News، یک گروه هکری ایرانی به انجام یک حمله سایبری طولانی مدت به یکی از زیرساخت های حیاتی ملی (CNI) در خاورمیانه متهم شده است. این نفوذ سایبری نزدیک به دو سال، از حداقل می 2023 تا فوریه 2025، به طول انجامیده و شامل “عملیات جاسوسی گسترده و استقرار احتمالی در شبکه بوده است – تاکتیکی که اغلب برای حفظ دسترسی پایدار به منظور مزیت استراتژیک آینده استفاده می شود.”

سابقه فعالیت گروه هکری Lemon Sandstorm

بر اساس ارزیابی ها، این گروه از حداقل سال 2017 فعال بوده و بخش های هوافضا، نفت و گاز، آب و برق را در سراسر ایالات متحده، خاورمیانه، اروپا و استرالیا هدف قرار داده است. به گفته شرکت امنیت سایبری صنعتی Dragos، این مهاجم از آسیب پذیری های امنیتی شناخته شده در شبکه های خصوصی مجازی (VPN) Fortinet، Pulse Secure و Palo Alto Networks برای به دست آوردن دسترسی اولیه استفاده کرده است.

سال گذشته، آژانس های امنیت سایبری و اطلاعاتی ایالات متحده، Lemon Sandstorm را مسئول استقرار باج افزار علیه نهادهایی در ایالات متحده، اسرائیل، آذربایجان و امارات متحده عربی دانستند.

مراحل حمله سایبری به زیرساخت حیاتی خاورمیانه

حمله ای که توسط Fortinet علیه نهاد CNI مورد تجزیه و تحلیل قرار گرفت، از می 2023 آغاز شده و در چهار مرحله با استفاده از مجموعه ابزارهای در حال تکامل و در واکنش به اقدامات متقابل قربانی صورت گرفته است:

مرحله اول: ایجاد جای پا (15 می 2023 – 29 آوریل 2024)

در این مرحله، مهاجمان با استفاده از اعتبارنامه های ورود دزدیده شده به سیستم SSL VPN قربانی دسترسی پیدا کرده، وب شل هایی را بر روی سرورهای در معرض دید عموم قرار داده و سه درب پشتی به نام های Havoc، HanifNet و HXLibrary را برای دسترسی طولانی مدت مستقر کردند.

مرحله دوم: تثبیت جای پا (30 آوریل 2024 – 22 نوامبر 2024)

در این مرحله، مهاجمان با کاشت وب شل های بیشتر و یک درب پشتی اضافی به نام NeoExpressRAT، استفاده از ابزارهایی مانند plink و Ngrok برای نفوذ عمیق تر به شبکه، استخراج هدفمند ایمیل های قربانی و انجام حرکات جانبی به زیرساخت مجازی سازی، جای پای خود را تثبیت کردند.

مرحله سوم: واکنش به اقدامات مقابله ای (23 نوامبر 2024 – 13 دسامبر 2024)

در واکنش به اقدامات اولیه مهار و اصلاحی که توسط قربانی انجام شد، مهاجمان وب شل های بیشتر و دو درب پشتی دیگر به نام های MeshCentral Agent و SystemBC را مستقر کردند.

مرحله چهارم: تلاش های مجدد برای نفوذ (14 دسامبر 2024 – تاکنون)

پس از اینکه قربانی با موفقیت دسترسی مهاجم را قطع کرد، تلاش هایی برای نفوذ مجدد به شبکه با بهره برداری از آسیب پذیری های شناخته شده Biotime (CVE-2023-38950، CVE-2023-38951 و CVE-2023-38952) و حملات نیزه ای فیشینگ با هدف قرار دادن 11 کارمند برای جمع آوری اعتبارنامه های Microsoft 365 صورت گرفت.

شایان ذکر است که Havoc و MeshCentral هر دو ابزارهای متن باز هستند که به ترتیب به عنوان یک چارچوب فرمان و کنترل (C2) و نرم افزار نظارت و مدیریت از راه دور (RMM) عمل می کنند. از سوی دیگر، SystemBC به یک بدافزار تجاری اشاره دارد که اغلب به عنوان پیش درآمدی برای استقرار باج افزار عمل می کند.

ابزارها و بدافزارهای مورد استفاده در حمله

در ادامه، شرح مختصری از سایر خانواده های بدافزار سفارشی و ابزارهای متن باز مورد استفاده در این حمله آورده شده است:

HanifNet

یک فایل اجرایی دات نت (.NET) بدون امضا که می تواند دستورات را از یک سرور C2 دریافت و اجرا کند (اولین بار در آگوست 2023 مستقر شد).

HXLibrary

یک ماژول مخرب IIS که به زبان دات نت (.NET) نوشته شده و برای بازیابی سه فایل متنی یکسان میزبانی شده در Google Docs به منظور دریافت سرور C2 و ارسال درخواست های وب به آن طراحی شده است (اولین بار در اکتبر 2023 مستقر شد).

CredInterceptor

یک ابزار مبتنی بر DLL که می تواند اعتبارنامه ها را از حافظه فرآیند زیرسیستم مرجع امنیتی محلی ویندوز (LSASS) جمع آوری کند (اولین بار در نوامبر 2023 مستقر شد).

RemoteInjector

یک جزء بارگذار که برای اجرای بار ثانویه مانند Havoc استفاده می شود (اولین بار در آوریل 2024 مستقر شد).

RecShell

یک وب شل که برای شناسایی اولیه استفاده می شود (اولین بار در آوریل 2024 مستقر شد).

NeoExpressRAT

یک درب پشتی که پیکربندی را از سرور C2 بازیابی می کند و احتمالاً از Discord برای ارتباطات بعدی استفاده می کند (اولین بار در آگوست 2024 مستقر شد).

DropShell

یک وب شل با قابلیت های اساسی بارگذاری فایل (اولین بار در نوامبر 2024 مستقر شد).

DarkLoadLibrary

یک بارگذار متن باز که برای راه اندازی SystemBC استفاده می شود (اولین بار در دسامبر 2024 مستقر شد).

ارتباط با Lemon Sandstorm از طریق زیرساخت C2 – apps.gist.githubapp[.]net و gupdate[.]net – که قبلاً به عنوان مرتبط با عملیات این گروه هکری در همان دوره زمانی علامت گذاری شده بودند، مشخص شده است.

Fortinet اعلام کرد که شبکه فناوری عملیاتی (OT) محدود قربانی، هدف اصلی این حمله بوده است. این ارزیابی بر اساس فعالیت های شناسایی گسترده مهاجم و نفوذ آنها به یک بخش شبکه که میزبان سیستم های مجاور OT بوده، صورت گرفته است. با این حال، هیچ مدرکی مبنی بر نفوذ مهاجم به شبکه OT وجود ندارد.

اکثر فعالیت های مخرب به عنوان عملیات تعاملی انجام شده توسط افراد مختلف ارزیابی شده است، که این امر با توجه به خطاهای دستوری و برنامه کاری ثابت، قابل تشخیص است. علاوه بر این، بررسی عمیق تر این حادثه نشان داده است که مهاجم ممکن است از 15 می 2021 به شبکه دسترسی داشته است.

این شرکت اعلام کرد: “در طول این نفوذ، مهاجم از پراکسی های زنجیره ای و ایمپلنت های سفارشی برای دور زدن تقسیم بندی شبکه و حرکت جانبی در محیط استفاده کرد. در مراحل بعدی، آنها به طور مداوم چهار ابزار پراکسی مختلف را به هم زنجیر می کردند تا به بخش های داخلی شبکه دسترسی پیدا کنند، که نشان دهنده یک رویکرد پیچیده برای حفظ پایداری و جلوگیری از شناسایی است.”