מיקרוסופט גילתה שקבוצת האקרים איראנית המכונה Mint Sandstorm מבצעת מתקפות סייבר על תשתיות קריטיות בארה"ב, במה שנחשד כנקמה על תקיפת תשתיות של איראן. Mint Sandstorm הוא השם החדש של קבוצת הפריצה Phosphorous אשר ככל הנראה פועלת עבור ממשלת איראן ומקושרת למשמרות המהפכה האסלאמית.
בדוח חדש מסבירים חוקרים בצוות Threat Intelligence של מיקרוסופט, שתת קבוצה של Mint Sandstorm עברה מביצוע מעקבים ב- 2022 לביצוע מתקפות ישירות על תשתית קריטית בארה"ב. התיאוריה היא שהפריצות הללו הן כנקמה על תקיפת תשתיות של איראן המיוחסת לארה"ב ולישראל: מתקפות על מערכת הרכבות של איראן ביוני 2021 ומתקפת סייבר שגרמה להשבתה בתחנות הדלק האיראניות באוקטובר 2021.
מיקרוסופט מאמינה שממשלת איראן מאפשרת כעת להאקרים בחסות המדינה חופש גדול יותר בעת ביצוע מתקפות סייבר, מה שמוביל לעלייה כוללת במתקפות סייבר: "המיקוד הזה גם עולה בקנה אחד עם עלייה רחבה יותר בקצב ובהיקף מתקפות הסייבר המיוחסות לגורמי איומים איראניים, כולל קבוצת משנה נוספת של Mint Sandstorm בהן צופה מיקרוסופט החל מספטמבר 2021", מזהירה מיקרוסופט בדיווח על Mint Sandstorm. מיקרוסופט הוסיפה כי נראה שהתוקפנות המוגברת של גורמי האיום האיראניים קשורה למהלכים אחרים של המשטר האיראני תחת מנגנון ביטחון לאומי חדש, מה שמצביע על כך שקבוצות כאלו מוגבלות פחות בפעולותיהן".
מיקרוסופט מסבירה כי שרשרת המתקפה הראשונה של ההאקרים האיראניים מובילה לגניבת מסד הנתונים של Windows Active Directory של הקורבן, אשר ניתן להשתמש בו כדי להשיג אישורים של משתמשים שיכולים לעזור להאקרים לקדם את החדירה או להתחמק מזיהוי ברשת. שרשרת המתקפה השנייה כוללת פריסת נוזקות מותאמות אישית בשם Drokbk and Soldier; שניהם משמשים כדי לשמור על נוכחות ברשתות שנפרצו ולפריסת נוזקות נוספות.
בנוסף לפריצה לרשתות, טוענת מיקרוסופט שהתוקפים ביצעו מתקפות דיוג בנפח נמוך נגד מספר קטן של קורבנות ממוקדים. מתקפות דיוג אלו כללו קישורים לחשבונות OneDrive המאחסנים קבצי PDF מזויפים המכילים לכאורה מידע על הביטחון או המדיניות במזרח התיכון. קובצי PDF אלו כללו גם קישורים לתבנית Word זדונית אשר הטעינה נוזקה במכונה בה נפתחה. מתקפות דיוג אלו שימשו לפריסת מסגרת CharmPower PowerShell לאחר הפריצה לשם ביסוס נוכחות ברשת וביצוע פקודות נוספות. "היכולות שנצפו בפריצות המיוחסות לקבוצת המשנה הזו של Mint Sandstorm מדאיגות שכן הן מאפשרות למפעילים להסתיר תקשורת C2, לבסס נוכחות במערכת שנפגעה ולפרוס מגוון כלים לאחר הפריצה", מזהירה מיקרוסופט ומוסיפה: "למרות שההשפעות משתנות בהתאם לפעילויות של ההאקרים לאחר החדירה, יכולה אפילו גישה ראשונית לאפשר גישה בלתי מורשית עמוקה יותר ולהקל על פעילויות נוספות העלולות לגרום נזק לסודיות, היושרה והזמינות של סביבת המחשוב."
מיקרוסופט ממליצה להשתמש בכללי הפחתת שטח התקיפה כדי לחסום קבצי הפעלה שאינם עומדים בקריטריונים ספציפיים: חסימת קבצי הפעלה מלהפעיל אלא אם הם עומדים בקריטריון מחמיר; חסימת יישומי Office מיצירת תוכן בר הפעלה; חסימת יצירת תהליכים שמקורם בפקודות PSExec ו- WMI; החלת עדכוני אבטחה בהקדם האפשרי. כמו כן, יש להקדיש תשומת לב מיוחדת לתיקון IBM Aspera Faspex, Zoho ManageEngine ו- Apache Log4j2, שכן הם יעדים ידועים עבור גורמי האיום.
