Die mit dem Iran verbundene Mint-Sandstorm-Gruppe zielt mit überzeugenden Social-Engineering-Anstrengungen auf Spezialisten für Nahost-Angelegenheiten an Universitäten und Forschungsorganisationen ab, die schließlich Malware verbreiten und die Systeme der Opfer kompromittieren.
Die jüngste Spionagekampagne der Gruppe Mint Sandstorm, die Verbindungen zum iranischen Militär hat, zielt darauf ab, Informationen von Journalisten, Forschern, Professoren und anderen Fachleuten zu stehlen, die sich mit Sicherheits- und Politikthemen befassen, die für die iranische Regierung von Interesse sind.
Laut eine Microsoft-Beratung Die Cyberspionagegruppe, die diese Woche herauskommt, nutzt Köder im Zusammenhang mit dem Krieg zwischen Israel und der Hamas, was Microsoft zu dem Schluss bringt, dass die Gruppe wahrscheinlich beabsichtigt, Informationen und Perspektiven zu diesem Konflikt von Politikexperten einzuholen.
Die Gruppe sei für ihre beharrlichen und nachhaltigen Bemühungen bekannt, heißt es in der Analyse.
„Geduldige und hochqualifizierte Social Engineers“
Mint Sandstorm ist Der Name von Microsoft für eine Ansammlung von Cyber-Einsatzteams, die mit dem Korps der Islamischen Revolutionsgarden (IRGC), einem Geheimdienstzweig des iranischen Militärs, verbunden sind.
Die Gruppe überschneidet sich mit Bedrohungsakteuren, die als bekannt sind APT35 von Googles Mandiant und Charmantes Kätzchen von Crowdstrike; Die jüngste Spionagekampagne werde wahrscheinlich von einer „technisch und operativ ausgereiften Untergruppe von Mint Sandstorm“ durchgeführt, sagte das Unternehmen.
„Betreiber dieser Untergruppe von Mint Sandstorm sind geduldige und hochqualifizierte Social Engineers, deren Handwerkskunst viele der Merkmale vermissen lässt, die es Benutzern ermöglichen, Phishing-E-Mails schnell zu identifizieren“, heißt es in der Analyse von Microsoft Threat Intelligence. „In einigen Fällen dieser Kampagne nutzte diese Untergruppe auch legitime, aber manipulierte Konten, um Phishing-Köder zu versenden.“
Laut Secureworks ist die Gruppe für ausgefeilte Social-Engineering-Kampagnen bekannt. Das Unternehmen geht davon aus, dass Microsofts Mint Sandstorm am ehesten mit der Gruppe übereinstimmt, die die Counter Threat Unit (CTU) von Secureworks als „Cobalt Illusion“ bezeichnet.
Die Gruppe führt regelmäßig Überwachungs- und Spionageaktivitäten gegen Personen durch, die als Bedrohung für die iranische Regierung gelten – beispielsweise gegen Forscher, die letztes Jahr die Unterdrückung von Frauen und Minderheitengruppen dokumentiert haben, sagt Rafe Pilling, Direktor für Bedrohungsforschung bei der CTU.
„Alle Institutionen oder Forscher, die Themen von strategischem oder politischem Interesse für die iranische Regierung oder ihre untergeordneten Geheimdienstfunktionen untersuchen, könnten ein Ziel sein“, sagt er. „Wir haben gesehen, dass Journalisten und akademische Forscher, die über politische, politische und sicherheitspolitische Themen im Iran und im Nahen Osten berichten, ins Visier genommen wurden, ebenso wie zwischenstaatliche und nichtstaatliche Organisationen, die im Iran oder in für den Iran interessanten Bereichen tätig sind.“
Außergewöhnliche Imitatoren
Die Gruppe führt häufig ressourcenintensiv durch Social Engineering Kampagnen gegen gezielte Gruppen oder Einzelpersonen, ähnlich wie die Russische APT-Gruppe ColdRiver, auch Gegenstand der Threat-Intelligence-Analyse in dieser Woche. Eine typische Taktik von Mint Sandstorm ist es, die Miene von Journalisten oder bekannten Forschern anzunehmen, und auch die gezielte Ausrichtung auf Bildungseinrichtungen hat sich durchgesetzt.
Typischerweise interagiert Mint Sandstorm mit der Zielperson unter dem Vorwand, ein Interview anzufordern oder ein Gespräch über bestimmte Themen anzustoßen, und manipuliert schließlich den E-Mail-Thread so weit, dass die Person dazu überredet werden kann, auf einen Link zu klicken, sagt Pilling von Secureworks.
Wenn die Gruppe Zugangsdaten für ein E-Mail-Konto stehlen kann, wird sie diese oft nutzen, um sich besser als seriöser Journalist oder Forscher auszugeben, sagt Pilling.
„Das E-Mail-Konto eines Journalisten zu kompromittieren, um dann andere Personen ins Visier zu nehmen, ist weitaus seltener, aber nicht ungewöhnlich“, sagt er. „Einige staatlich geförderte Gruppen kompromittieren Organisationen, mit denen ihre Ziele zusammenarbeiten, um Phishing-Angriffe zu versenden, denen ihr eigentliches Ziel mit größerer Wahrscheinlichkeit vertraut.“
Benutzerdefinierte Hintertüren für Cyberspionage
Sobald die Angreifer eine Verbindung zu ihrem Ziel hergestellt haben, senden sie eine E-Mail mit einem Link zu einer bösartigen Domain, der häufig zu einer RAR-Archivdatei führt, von der sie behaupten, dass sie einen Entwurf eines Dokuments zur Überprüfung enthält. Durch eine Reihe von Schritten würden die Angreifer schließlich eines von zwei benutzerdefinierten Backdoor-Programmen löschen: MediaPI, das sich als Windows Media Player ausgibt, oder MischiefTut, ein in PowerShell geschriebenes Tool.
„Mint Sandstorm verbessert und modifiziert weiterhin die Tools, die in den Umgebungen der Ziele verwendet werden. Dies ist eine Aktivität, die der Gruppe helfen könnte, in einer kompromittierten Umgebung zu bestehen und einer Entdeckung besser zu entgehen“, erklärte Microsoft.
Nationalstaatlich unterstützte Gruppen und finanziell motivierte Cyberkriminelle tauschen oft Techniken aus, daher sei der Einsatz maßgeschneiderter Hintertüren bemerkenswert, schrieb Callie Guenther, Senior Managerin für Cyber-Bedrohungsforschung bei Critical Start, in einer Erklärung.
„Die Verbreitung dieser Taktiken könnte ein Signal für eine allgemeine Eskalation der Cyber-Bedrohungslandschaft sein“, sagte sie. „Was als gezielter, geopolitisch motivierter Angriff beginnt, könnte sich zu einer umfassenderen Bedrohung entwickeln, die eine größere Anzahl von Organisationen und Einzelpersonen betrifft.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :hast
- :Ist
- :nicht
- a
- Über Uns
- akademisch
- Nach
- Konto
- Trading Konten
- Aktivitäten
- Aktivität
- Akteure
- berührt das Schneidwerkzeug
- Die Annahme
- Angelegenheiten
- beeinflussen
- gegen
- Ziel
- ausrichten
- erlauben
- ebenfalls
- an
- Analyse
- und
- jedem
- APT
- Archiv
- SIND
- Bereiche
- ARM
- AS
- damit verbundenen
- At
- Attacke
- Anschläge
- Hintertür-
- Backdoors
- BE
- Sein
- Besser
- aber
- by
- Aufrufe
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Anspruch
- klicken Sie auf
- eng
- Sammlung
- gemeinsam
- Unternehmen
- Kompromiss
- Kompromittiert
- kompromittierend
- Schluss
- dirigiert
- Konflikt
- betrachtet
- überlegt
- enthält
- weiter
- Gespräch
- überzeugt
- könnte
- Counter
- Abdeckung
- Referenzen
- kritischem
- Original
- Cyber-Kriminelle
- liefern
- Entdeckung
- Direktor
- Dokument
- dokumentieren
- Domain
- Lüftung
- Drop
- östlich
- Bildungs-
- Erzieher
- Bemühungen
- E-Mails
- engagieren
- Entwicklung
- Ingenieure
- Arbeitsumfeld
- Umgebungen
- Eskalation
- Spionage
- Äther (ETH)
- Flucht
- schließlich
- entwickelt sich
- Beispiel
- Experten
- Reichen Sie das
- finanziell
- Aussichten für
- häufig
- für
- Funktionen
- gewonnen
- sammeln
- geopolitisch
- der Regierung
- Gruppe an
- Gruppen
- Bewachen
- Markenzeichen
- Haben
- he
- Hilfe
- hoch
- HTTPS
- identifizieren
- Illusion
- zu unterstützen,
- in
- Krankengymnastik
- Einzelpersonen
- Information
- Einleiten
- Instanzen
- Institutionen
- Intelligenz
- beabsichtigt
- Interesse
- Interview
- in
- Iran
- iranisch
- Islamisch
- Probleme
- IT
- SEINE
- Journalist
- Journalisten
- jpg
- bekannt
- Landschaft
- größer
- Nachname
- Letztes Jahr
- neueste
- führenden
- legitim
- weniger
- Gefällt mir
- wahrscheinlich
- LINK
- verknüpft
- böswilligen
- Malware
- Manager
- manipulieren
- viele
- reifen
- Medien
- Microsoft
- Mitte
- könnte
- Militär
- Minderheit
- Minze
- ändern
- mehr
- vor allem warme
- motiviert
- viel
- NGOs
- bemerkenswert
- Anzahl
- of
- WOW!
- vorgenommen,
- on
- EINEM
- Betreiber
- or
- Organisationen
- Andere
- Gesamt-
- Vertrauen bei Patienten
- Perspektiven
- Phishing
- Phishing-Attacken
- Plato
- Datenintelligenz von Plato
- PlatoData
- Spieler
- Points
- Datenschutzrichtlinien
- politisch
- Posen
- Powershell
- Profis
- Programme
- schnell
- echt
- regelmäßig
- bezogene
- anfragen
- Forschungsprojekte
- Forscher
- Forscher
- ressourcenintensiv
- Überprüfen
- Revolutionär
- Führen Sie
- s
- Said
- sagt
- Sicherheitdienst
- gesehen
- senden
- Senior
- Modellreihe
- Teilen
- sie
- Signal
- erfahren
- So
- Social Media
- Soziale Technik
- einige
- anspruchsvoll
- Spezialisten
- spezifisch
- Verbreitung
- Anfang
- angegeben
- Erklärung
- Shritte
- Strategisch
- Studie
- Fach
- Unterdrückung
- Überwachung
- Dach
- Systeme und Techniken
- Taktik
- gemacht
- Target
- gezielt
- Targeting
- Ziele
- Teams
- technisch
- Techniken
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diese Woche
- diejenigen
- Bedrohung
- Bedrohungsakteure
- Bedrohungsanalyse
- Durch
- Krawatten
- zu
- Werkzeug
- Themen
- vertraut
- XNUMX
- typisch
- Einheit
- Universitäten
- -
- benutzt
- Nutzer
- verwendet
- Ve
- Opfer
- Krieg
- we
- Woche
- GUT
- Was
- welche
- WHO
- deren
- weit verbreitet
- werden wir
- Fenster
- mit
- .
- Damen
- Arbeiten
- würde
- geschrieben
- schrieb
- Jahr
- Zephyrnet