СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.05.2025
#ИБ#Инфра

Иранская группа Lemon Sandstorm атакует критическую инфраструктуру Ближнего Востока

Иранская группа Lemon Sandstorm атакует критическую инфраструктуру Ближнего Востока

Недавнее вторжение в сеть критически важной инфраструктуры (CNI) на Ближнем Востоке, которое с высокой степенью уверенности приписывается поддерживаемой иранским государством хакерской группе, известной как Lemon Sandstorm, подчеркивает значительное изменение в методах атак на подобные объекты. Расследование, инициированное после обнаружения необычной активности на сервере Microsoft Exchange, выявило длительное нарушение, продолжавшееся по меньшей мере с мая 2023 года.

Обнаружение угрозы

Первоначальные признаки взлома были выявлены еще в мае 2021 года. Злоумышленники использовали комплекс тактик, методов и процедур (TTP), что включает:

  • долгосрочный доступ к сети через несколько бэкдоров (Havoc, HanifNet, HXLibrary и NeoExpressRAT);
  • кражу учетных данных для проникновения;
  • развертывание веб-оболочек на общедоступных серверах;
  • горизонтальное перемещение по сети с помощью RDP и других инструментов (например, PsExec).

Тактика злоумышленников

Злоумышленники установили постоянство в своих действиях, используя запланированные задачи для выполнения вредоносных сценариев. Один из ключевых аспектов их деятельности заключался в:

  • сборе учетных данных с помощью Mimikatz и Nanodump;
  • уклонении от обнаружения, включая изменение JavaScript на сервере Microsoft Exchange;
  • подготовке к действиям, предшествующим программам-вымогателям.

Во время атаки злоумышленники использовали обширные методы уклонения, включая модифицированные скрипты, фиксировавшие регистрационную информацию пользователей.

Долгосрочная перспектива

Расследование выявило, что хакерская группа проявляет явный интерес к стратегическим преимуществам. Несмотря на исправления со стороны организации-жертвы, злоумышленник продолжал восстанавливать доступ с помощью целенаправленных фишинговых кампаний против ключевых сотрудников. Это подчеркивает важность CNI и стратегический интерес хакеров к ней.

Уязвимости и рекомендации

В ходе расследования были выявлены многочисленные уязвимости, включая:

  • незащищенное приложение с известными проблемами;
  • уязвимости в обходе пути и доступе к учетным данным.

Сложность и адаптивность хакерских атак требуют от организаций, работающих в критически важных секторах инфраструктуры, принятия надежных оборонительных мер. Это подчеркивает необходимость постоянного мониторинга и эффективных механизмов обнаружения поведенческих нарушений, способных выявлять APT и реагировать на них.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: