Il gruppo Mint Sandstorm, legato all'Iran, sta prendendo di mira gli specialisti degli affari mediorientali nelle università e negli organismi di ricerca con convincenti sforzi di ingegneria sociale, che si concludono distribuendo malware e compromettendo i sistemi delle vittime.
L’ultima campagna di spionaggio del gruppo Mint Sandstorm, che ha legami con l’esercito iraniano, mira a rubare informazioni a giornalisti, ricercatori, professori e altri professionisti che si occupano di temi politici e di sicurezza di interesse per il governo iraniano.
Secondo un avviso Microsoft uscito questa settimana, il gruppo di spionaggio informatico utilizza esche legate alla guerra tra Israele e Hamas, portando Microsoft a concludere che il gruppo probabilmente intende raccogliere informazioni e prospettive su quel conflitto da esperti politici.
Il gruppo è ben noto per i suoi sforzi persistenti e sostenuti, afferma l’analisi.
“Ingegneri sociali pazienti e altamente qualificati”
Mint Sandstorm lo è Il nome di Microsoft per un insieme di squadre di operazioni informatiche legate al Corpo delle Guardie della Rivoluzione Islamica (IRGC), un braccio di intelligence dell'esercito iraniano.
Il gruppo si sovrappone ad attori di minacce noti come APT35 da Mandiant di Google e Gattino affascinante di Crowdstrike; l’ultima campagna di spionaggio è probabilmente gestita da un “sottogruppo tecnicamente e operativamente maturo di Mint Sandstorm”, ha affermato la società.
"Gli operatori associati a questo sottogruppo di Mint Sandstorm sono ingegneri sociali pazienti e altamente qualificati la cui attività commerciale è priva di molte delle caratteristiche che consentono agli utenti di identificare rapidamente le e-mail di phishing", ha affermato Microsoft Threat Intelligence nell'analisi. "In alcuni casi di questa campagna, questo sottogruppo ha utilizzato anche account legittimi ma compromessi per inviare esche di phishing."
Il gruppo è ben noto per le sofisticate campagne di ingegneria sociale, secondo Secureworks, che ritiene che Mint Sandstorm di Microsoft sia più strettamente allineato con il gruppo Counter Threat Unit (CTU) di Secureworks chiamato "Cobalt Illusion".
Il gruppo conduce regolarmente attività di sorveglianza e spionaggio contro coloro che sono considerati una minaccia per il governo iraniano, ad esempio prendendo di mira i ricercatori che documentano la repressione delle donne e dei gruppi minoritari lo scorso anno, afferma Rafe Pilling, direttore della ricerca sulle minacce per il CTU.
“Qualsiasi istituzione o ricercatore che studia argomenti di interesse strategico o politico per il governo iraniano o le sue funzioni di intelligence subordinate potrebbero essere un bersaglio”, afferma. “Abbiamo visto giornalisti e ricercatori accademici che si occupano di questioni politiche, politiche e di sicurezza dell’Iran e del Medio Oriente presi di mira, così come OIG e ONG che lavorano in Iran o in aree di interesse per l’Iran”.
Impersonatori straordinari
Il gruppo conduce spesso attività ad alta intensità di risorse Ingegneria sociale campagne contro gruppi o individui mirati, proprio come il Il gruppo APT russo ColdRiver, anche oggetto di analisi di intelligence sulle minacce questa settimana. Adottare l'atteggiamento di giornalisti o ricercatori noti è una tattica tipica di Mint Sandstorm, e anche prendere di mira le istituzioni educative è decollato.
In genere, Mint Sandstorm interagisce con l'individuo preso di mira con il pretesto di richiedere un colloquio o avviare una conversazione su argomenti specifici, manipolando infine il thread di posta elettronica al punto che l'individuo può essere convinto a fare clic su un collegamento, afferma Pilling di Secureworks.
Se il gruppo riesce a rubare le credenziali di un account di posta elettronica, spesso le utilizzerà per presentarsi meglio come giornalista o ricercatore legittimo, afferma Pilling.
"In realtà compromettere l'account di posta elettronica di un giornalista per poi prendere di mira altre persone è molto meno comune ma non inaudito", afferma. "Alcuni gruppi sponsorizzati dallo stato comprometteranno le organizzazioni con cui lavorano i loro obiettivi per inviare attacchi di phishing che hanno maggiori probabilità di essere considerati attendibili dal loro vero obiettivo."
Backdoor personalizzate per il cyber-spionaggio
Una volta che gli aggressori hanno stabilito un rapporto con il loro obiettivo, inviano un'e-mail contenente un collegamento a un dominio dannoso, che spesso porta a un file di archivio RAR che, secondo loro, contiene una bozza di documento per la revisione. Attraverso una serie di passaggi, gli aggressori alla fine avrebbero eliminato uno dei due programmi backdoor personalizzati: MediaPI, che si spaccia per Windows Media Player, o MischiefTut, uno strumento scritto in PowerShell.
"Mint Sandstorm continua a migliorare e modificare gli strumenti utilizzati negli ambienti dei bersagli, attività che potrebbe aiutare il gruppo a persistere in un ambiente compromesso e ad eludere meglio il rilevamento", ha affermato Microsoft.
Gruppi sostenuti da stati-nazione e criminali informatici motivati finanziariamente spesso condividono tecniche, quindi l'uso di backdoor personalizzate è degno di nota, ha scritto in una dichiarazione Callie Guenther, senior manager per la ricerca sulle minacce informatiche presso Critical Start.
“La diffusione di queste tattiche potrebbe segnalare un’escalation complessiva nel panorama delle minacce informatiche”, ha affermato. “Ciò che inizia come un attacco mirato e motivato geopoliticamente potrebbe evolversi in una minaccia più diffusa, colpendo un numero maggiore di organizzazioni e individui”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :ha
- :È
- :non
- a
- WRI
- accademico
- Secondo
- Il mio account
- conti
- attività
- attività
- attori
- effettivamente
- Adottando
- Affari
- che interessano
- contro
- mira
- allineare
- consentire
- anche
- an
- .
- ed
- in qualsiasi
- APT
- Archivio
- SONO
- aree
- ARM
- AS
- associato
- At
- attacco
- attacchi
- porta posteriore
- Backdoor
- BE
- essendo
- Meglio
- ma
- by
- Bandi
- Campagna
- Responsabile Campagne
- Materiale
- rivendicare
- clicca
- strettamente
- collezione
- Uncommon
- azienda
- compromesso
- Compromissione
- compromettendo
- concludere
- comportamenti
- conflitto
- considerato
- ritiene
- contiene
- continua
- Conversazione
- convinto
- potuto
- contatore
- coprire
- Credenziali
- critico
- costume
- i criminali informatici
- consegna
- rivelazione
- Direttore
- documento
- documentazione
- dominio
- bozza
- Cadere
- orientale
- educativo
- educatori
- sforzi
- impegnarsi
- Ingegneria
- Ingegneri
- Ambiente
- ambienti
- intensificazione
- spionaggio
- Etere (ETH)
- Evade
- alla fine
- evolvere
- esempio
- esperti
- Compila il
- finanziariamente
- Nel
- frequentemente
- da
- funzioni
- guadagnato
- raccogliere
- geopoliticamente
- Enti Pubblici
- Gruppo
- Gruppo
- Guardia
- caratteristiche
- Avere
- he
- Aiuto
- vivamente
- HTTPS
- identificare
- Illusione
- competenze
- in
- individuale
- individui
- informazioni
- avviando
- istanze
- istituzioni
- Intelligence
- intende
- interesse
- Colloquio
- ai miglioramenti
- Iran
- iraniano
- Islamico
- sicurezza
- IT
- SUO
- giornalista
- Giornalisti
- jpg
- conosciuto
- paesaggio
- superiore, se assunto singolarmente.
- Cognome
- L'anno scorso
- con i più recenti
- principale
- legittimo
- meno
- piace
- probabile
- LINK
- connesso
- maligno
- il malware
- direttore
- manipolazione
- molti
- alunni
- Media
- Microsoft
- In mezzo
- forza
- Militare
- minoranza
- menta
- modificare
- Scopri di più
- maggior parte
- motivato
- molti
- ONG
- notevole
- numero
- of
- MENO
- di frequente
- on
- ONE
- Operatori
- or
- organizzazioni
- Altro
- su
- complessivo
- paziente
- prospettive
- phishing
- attacchi di phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- giocatore
- punto
- politica
- politico
- pone
- PowerShell
- Scelto dai professionisti
- Programmi
- rapidamente
- di rose
- regolarmente
- relazionato
- richiedendo
- riparazioni
- ricercatore
- ricercatori
- risorsa intensiva
- recensioni
- rivoluzionario
- Correre
- s
- Suddetto
- dice
- problemi di
- visto
- inviare
- anziano
- Serie
- Condividi
- lei
- Signal
- qualificato
- So
- Social
- Ingegneria sociale
- alcuni
- sofisticato
- specialisti
- specifico
- diffondere
- inizia a
- ha dichiarato
- dichiarazione
- Passi
- Strategico
- Studio
- soggetto
- repressione
- sorveglianza
- sostenuta
- SISTEMI DI TRATTAMENTO
- tattica
- preso
- Target
- mirata
- mira
- obiettivi
- le squadre
- tecnicamente
- tecniche
- che
- Il
- loro
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- quelli
- minaccia
- attori della minaccia
- intelligenza delle minacce
- Attraverso
- Cravatte
- a
- Argomenti
- di fiducia
- seconda
- tipico
- unità
- Università
- uso
- utilizzato
- utenti
- usa
- Ve
- vittime
- guerra
- we
- settimana
- WELL
- Che
- quale
- OMS
- di chi
- molto diffuso
- volere
- finestre
- con
- entro
- Donna
- Lavora
- sarebbe
- scritto
- ha scritto
- anno
- zefiro