APT组织Mint Sandstorm迅速利用概念验证漏洞

关键要点

• Mint Sandstorm是一个与伊朗政府相关的APT组织，专注于攻击高价值目标。
• 该组织迅速利用概念验证漏洞，并已从侦察阶段转向直接攻击美国的关键基础设施。
• 随着时间推移，Mint Sandstorm已开始加速攻击频率，特别是在2023年。
• 微软发布了新的APT命名规范，以帮助识别不同国家的网络威胁。

MintSandstorm，一支被称为“先进持续威胁”（APT）的网络攻击组织，迅速掌握了在组织能够应用补丁之前对概念验证（PoC）漏洞进行攻击的能力。根据微软的报告，MintSandstorm是伊朗政府支持的，并且由多个与伊朗革命卫队情报部门相关的子组织组成。研究人员指出，MintSandstorm（也被称为Phosphorus）专门从事黑客攻击，并窃取高价值目标的敏感信息。

该子组织已经从侦察工作转向直接针对美国的关键基础设施进行攻击，包括港口、能源公司、交通系统，以及“可能为报复性破坏性网络攻击提供支持的主要美国公用事业和燃气实体。”研究显示，该组织的攻击始于2021年末，并持续到2022年中期，且此后攻击的频率和范围
steadily增加。

直到今年，微软表示，该子组织在采用最近披露的漏洞方面进展缓慢。但自2023年起，MintSandstorm开始迅速将公共PoC纳入其攻击工具中。例如，针对ZohoManageEngine的漏洞的PoC在1月19日发布，MintSandstorm就在同一天展开攻击。此外，该组织还在PoC于2月2日首次公布后的五天内利用了AsperaFaspex的漏洞。

微软的研究人员指出，尽管该组织迅速将新PoC纳入其攻击手册，Mint Sandstorm仍旧在未打补丁的设备上继续利用旧版漏洞，如Log4Shell。

CardinalOps的网络防御战略副总裁PhilNeray提到，网络安全基础设施安全局（CISA）表示，对手通常会在供应商更新发布后48小时内开发漏洞利用工具，考虑到大型组织通常需要平均60天来测试和部署补丁。

网络安全专业人士表示，当了解到伊朗国家行为者如此快速地利用PoC时，他们并不感到意外。

“[微软的]建议也很可靠，”Vulcan Cyber的高级技术工程师MikeParkin说道。“但‘打补丁和加强防护’是网络安全专业人士一直推荐的做法。我们希望人们能听从建议并实际执行。”

微软推出新的APT命名规范

Mint Sandstorm的名称是微软推出的新的一部分。新的命名规范为国家行为者赋予了一个“家族名称”，并结合了气象事件，例如，沙尘暴的称谓用于被认为是伊朗威胁团体，怀疑的俄罗斯威胁团体将被描述为“暴风雪”家族名称。怀疑的北朝鲜组织将被称为“雨夹雪”，而与中国有联系的APT则将标记为“台风”。