# Mango Sandstorm (MERCURY / MuddyWater) > [!danger] Iran MOIS - Log4Shell + SysAid + Zoho ManageEngine > Mango Sandstorm explorou Log4Shell contra agencia federal dos EUA em fevereiro de 2022 (detectado pela CISA), instalou minerador de criptomoeda, comprometeu credenciais do domain controller e implantou proxies Ngrok para persistência multi-mes. O grupo e subordinado ao Ministerio de Inteligência e Segurança do Ira (MOIS). ## Visão Geral Mango Sandstorm e o nome atual da Microsoft para o grupo rastreado historicamente como MERCURY e MuddyWater. Segundo o Cyber Command dos EUA, "MuddyWater e elemento subordinado dentro do Ministerio de Inteligência e Segurança iraniano." O grupo tem sido operacional desde pelo menos 2017, conduzindo espionagem cibernética contra governos e organizacoes no Oriente Medio, Europa e EUA. O grupo combina técnicas de acesso inicial oportunistas (exploração rapida de vulnerabilidades recentes como Log4Shell e SysAid) com tooling comercial disponível públicamente (ScreenConnect, AnyDesk, eHorus) para persistência, e ferramentas customizadas como Ligolo (tunelamento reverso) e Venom Proxy. **Também conhecido como:** MERCURY (Microsoft - nome legado), MuddyWater, Static Kitten, Seedworm, TEMP.Zagros, G0069 ## Campanhas Documentadas | Campanha | Período | Alvo | CVE Explorada | | -------- | ------- | ---- | ------------- | | Log4Shell VMware Horizon | 2022 | Organizacoes no Oriente Medio | CVE-2021-44228 | | FCEB Log4Shell Compromise | 2022 | Agencia federal civilian EUA | CVE-2021-44228 | | Log4j SysAid Israel | 2022 | Organizacoes em Israel | CVE-2021-44228 via SysAid | | Zoho ManageEngine campaign | 2022-2023 | Multiplos setores | CVE-2022-47966 | ## Attack Flow - Acesso via Log4Shell ```mermaid graph TB A["Acesso Inicial<br/>T1190 Log4Shell exploit<br/>CVE-2021-44228 via SysAid/VMware"] --> B["Persistência<br/>T1053.005 Scheduled Task<br/>RuntimeBroker.exe diario como SYSTEM"] B --> C["Credential Dumping<br/>T1003.001 LSASS via TaskManager<br/>Mimikatz pos-acesso"] C --> D["Conta de Admin<br/>T1136.002 Domain Account<br/>Conta rogue de domain admin criada"] D --> E["Movimento Lateral<br/>T1021.001 RDP propagação<br/>WMI RemCom para execução remota"] E --> F["Tunelamento C2<br/>Ngrok reverse proxies<br/>Ligolo (vpnui.exe) SSH tunnel"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2471a3,color:#fff style E fill:#1a5276,color:#fff style F fill:#1e8449,color:#fff ``` ## Ferramentas e Técnicas Caracteristicas - **Phishing via mailbox comprometida:** phishing originado de contas legitimas previamente comprometidas, aumentando taxa de sucesso - **Ferramentas RAT comerciais:** ScreenConnect, AnyDesk, eHorus para acesso remoto (dificeis de detectar) - **Ligolo (vpnui.exe):** versao customizada do tunneling tool open-source Ligolo para C2 discreto - **Venom Proxy:** ferramenta de proxy para rotear trafego C2 - **Cloud file-sharing:** uso de servicos de compartilhamento de arquivos como staging de payloads ## TTPs Detalhadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - Log4Shell em VMware Horizon, SysAid, ManageEngine - [[t1059-001-powershell|T1059.001 - PowerShell]] - scripts PowerShell para enumeracao e acoes pos-comprometimento - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - persistência via tarefa agendada SYSTEM - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - Mimikatz para coleta de credenciais - [[t1136-002-domain-account|T1136.002 - Domain Account]] - criação de contas de domain admin - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - movimento lateral pos-comprometimento de credenciais - [[t1047-windows-management-instrumentation|T1047 - WMI]] - execução de comandos remotos via RemCom - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de Mimikatz, PsExec, Ngrok - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - Ngrok + Ligolo para proxying de C2 - [[t1072-software-deployment-tools|T1072 - Software Deployment Tools]] - abuso de ScreenConnect/AnyDesk - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - phishing com links para RATs comerciais ## CVEs Exploradas - [[cve-2021-44228|CVE-2021-44228]] - Log4Shell (Apache Log4j 2) - explorado em VMware Horizon e SysAid - [[cve-2022-47966|CVE-2022-47966]] - Zoho ManageEngine RCE - CVE-2022-26134 - Atlassian Confluence RCE ## Relevância para o Brasil e LATAM A Microsoft documentou que campanhas de Mango Sandstorm visaram organizacoes em Israel, EUA, e paises que fazem negocios com alvos no Oriente Medio - incluindo empresas **brasileiras** listadas como alvo em relatório de setembro de 2023. O Brasil tem relacoes diplomaticas e comerciais com o Ira e muitas organizacoes governamentais brasileiras operam aplicações Java vulneraveis ao Log4Shell. Organizacoes que ainda executam versoes vulneraveis do Log4j, VMware Horizon, Atlassian Confluence ou Zoho ManageEngine em infraestrutura internet-facing sao alvos oportunistas imediatos para Mango Sandstorm. > [!warning] Log4Shell Ainda e Ameaça Ativa > Mango Sandstorm e outros grupos iranianos continuam explorando Log4Shell em 2024. Auditar toda infraestrutura Java e garantir que Log4j >= 2.17.1. Verificar SysAid e Zoho ManageEngine para versoes com patchs aplicados. ## Detecção e Hunting - Monitorar LDAP callbacks em porta 443 (indicativo de Log4Shell exploitation) - Alertar para criação de Scheduled Tasks com execução como SYSTEM - Detectar Ngrok via DNS (*.ngrok.io, ngrok.*.tunnel.com) - Hunting por Ligolo: procurar `vpnui.exe` em localizacoes nao padrao - Monitorar criação de contas de domain admin fora de processo de change management ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/) Microsoft - MERCURY Leveraging Log4j Vulnerabilities (2022) - [2](https://www.ic3.gov/CSA/2022/221121.pdf) CISA/FBI - Iranian APT Actors Compromise Federal Network via Log4Shell (2022) - [3](https://vulnera.com/newswire/iranian-nation-state-actors-execute-password-spray-attacks-on-global-scale/) Vulnera - Mango Sandstorm Password Spray Campaigns (2023) - [4](https://attack.mitre.org/groups/G0069/) MITRE ATT&CK - G0069 MuddyWater - [5](https://www.govtech.com/security/cisa-alert-iran-backed-actors-hit-federal-agency-in-log4shell-attack) GovTech - CISA Alert: Iran Actors Log4Shell Attack (2022)