ทีม Threat Intelligence ของ Microsoft เผยว่า Mint Sandstorm กลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุนมีเอี่ยวในการโจมตีโครงสร้างพื้นฐานสหรัฐอเมริกาในช่วงระหว่างปลายปี 2021 ถึงกลางปี 2022
Mint Sandstorm คือกลุ่มเดียวกันกับ Phosphorus, APT35, Charming Kitten, ITG18, TA453 และ Yellow Garuda โดยเชื่อว่ามีความเชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ซึ่งเป็นองค์กรภายใต้ผู้นำสูงสุดโดยตรง
Threat Intelligence ชี้ว่า Mint Sandstorm เป็นกลุ่มที่มีฝีมือมากพอสมควร สามารถพัฒนาเครื่องมือในการแฮก และมีความคล่องตัวในการปฏิบัติการ สอดคล้องกับเป้าหมายระดับประเทศของอิหร่าน
เป้าหมายของกลุ่มนี้ประกอบด้วยท่าเรือ ระบบขนส่ง และบริษัทพลังงานรายใหญ่ของสหรัฐฯ
เหตุผลของการโจมตีส่วนใหญ่น่าจะเป็นไปเพื่อตอบโต้การโจมตีต่อระบบโครงสร้างพื้นฐานของอิหร่านในช่วงกลางปี 2020 – ปลายปี 2021 ที่เชื่อว่าสหรัฐฯ และอิสราเอลอยู่เบื้องหลัง
แนวทางการโจมตีส่วนใหญ่จะใช้การทำฟิชชิ่ง และการโจมตีที่อาศัยช่องโหว่ในซอฟต์แวร์ที่เคยมีการออกแพตช์แก้ไขไปแล้ว (N-Day Exploits)
เมื่อเจาะเข้าไปได้แล้วก็ใช้เครื่องมือการแฮกที่หลากหลาย หนึ่งในนั้นคือการปล่อยสคริปต์ PowerShell ที่ได้รับการปรับแต่งขึ้นในชื่อ CharmPower ก่อนจะเริ่มการโจมตีต่อไป
ChamPower มีทั้งความสามารถในการอ่านไฟล์ เก็บเกี่ยวข้อมูลโฮสต์ และขโมยข้อมูลออกมาจากระบบของเหยื่อ
ที่มา thehackernews
พิสูจน์อักษร : สุชยา เกษจำรัส
