Хакеры Lemon Sandstorm два года контролировали инфраструктуру Ближнего Востока

Компания Fortinet сообщила о раскрытии широкомасштабной кибершпионской кампании, осуществлённой группировкой Lemon Sandstorm (известной также под именами Parisite, Pioneer Kitten и UNC757) против объектов критической инфраструктуры на Ближнем Востоке. Согласно отчёту, злоумышленники вели свою деятельность с мая 2023 года по февраль 2025 года, обеспечив себе продолжительный доступ к сетям предприятий энергетической отрасли, водоснабжения и нефтегазового комплекса.

Первоначальное проникновение осуществлялось посредством использования брешей в системах VPN, включая продукты Fortinet и Palo Alto. Злоумышленники сначала использовали украденные учетные данные для аутентификации, затем внедряли веб-оболочки и устанавливали бэкдоры Havoc, HanifNet и HXLibrary. Впоследствии были зафиксированы новые этапы атак с применением NeoExpressRAT, MeshCentral и SystemBC, а также целенаправленные фишинговые рассылки и эксплуатация уязвимостей в системах контроля доступа Biotime.

Отличительной чертой данной операции являлось продолжительное и скрытное присутствие в скомпрометированных сетях. Нападавшие использовали цепочки прокси-серверов, тщательно разработанные инструменты для перемещения внутри сети и сложные методы закрепления в системе. Несмотря на то, что прямое проникновение в OT-сегменты управления не было подтверждено, предполагается, что именно эта часть инфраструктуры являлась основной целью злоумышленников.

Исследователи подчёркивают, что все действия осуществлялись в ручном режиме, с высоким уровнем координации и с применением продвинутых технических навыков. По информации Fortinet и Dragos, подобные атаки, связанные с Lemon Sandstorm, были зарегистрированы в США, Европе и Австралии.

Источник — https://securitymedia.org/