Den Iran-tilknyttede Mint Sandstorm-gruppen retter seg mot spesialister i Midtøsten-saker ved universiteter og forskningsorganisasjoner med overbevisende sosial ingeniørarbeid, som avsluttes med å levere skadevare og kompromittere ofrenes systemer.
Den siste spionkampanjen til Mint Sandstorm-gruppen, som har bånd til det iranske militæret, har som mål å stjele informasjon fra journalister, forskere, professorer og andre fagfolk som dekker sikkerhets- og politiske temaer av interesse for den iranske regjeringen.
Ifølge en Microsoft-rådgivning denne uken bruker cyberspionasjegruppen lokker relatert til Israel-Hamas-krigen, noe som fører til at Microsoft konkluderer med at gruppen sannsynligvis har til hensikt å samle etterretning om og perspektiver om denne konflikten fra politiske eksperter.
Gruppen er kjent for sin iherdige og vedvarende innsats, heter det i analysen.
"Tålmodige og svært dyktige sosialingeniører"
Mint Sandstorm er Microsofts navn for en samling cyberoperasjonsteam knyttet til Islamic Revolutionary Guard Corps (IRGC), en etterretningsarm av Irans militær.
Gruppen overlapper med trusselaktører kjent som APT35 av Googles Mandiant og Sjarmerende kattunge av Crowdstrike; den siste spionasjekampanjen er sannsynligvis drevet av en "teknisk og operasjonelt moden undergruppe av Mint Sandstorm," sa selskapet.
"Operatører knyttet til denne undergruppen av Mint Sandstorm er tålmodige og svært dyktige sosiale ingeniører hvis håndverk mangler mange av kjennetegnene som lar brukere raskt identifisere phishing-e-poster," uttalte Microsoft Threat Intelligence i analysen. "I noen tilfeller av denne kampanjen brukte denne undergruppen også legitime, men kompromitterte kontoer for å sende phishing-lokker."
Gruppen er kjent for sofistikerte sosiale ingeniørkampanjer, ifølge Secureworks, som anser Microsofts Mint Sandstorm for å være mest på linje med gruppen Secureworks' Counter Threat Unit (CTU) kaller "Cobalt Illusion."
Gruppen driver regelmessig overvåking og spionasjeaktiviteter mot de som anses å være en trussel mot den iranske regjeringen – for eksempel rettet mot forskere som dokumenterer undertrykkelsen av kvinner og minoritetsgrupper i fjor, sier Rafe Pilling, direktør for trusselforskning for CTU.
"Alle institusjoner eller forskere som studerer temaer av strategisk eller politisk interesse for regjeringen i Iran eller deres underordnede etterretningsfunksjoner kan være et mål," sier han. "Vi har sett journalister og akademiske forskere som dekker iranske og Midtøstens politiske, politiske og sikkerhetsmessige spørsmål bli målrettet, så vel som IGOer og frivillige organisasjoner som jobber i Iran eller i områder av interesse for Iran."
Imitatorer Extraordinaire
Konsernet driver ofte ressurskrevende sosialteknikk kampanjer mot målrettede grupper eller enkeltpersoner, omtrent som Den russiske APT-gruppen ColdRiver, også gjenstand for trusseletterretningsanalyse denne uken. Å adoptere journalisters eller kjente forskeres mien er en typisk taktikk for Mint Sandstorm, og målretting mot utdanningsinstitusjoner har også tatt av.
Vanligvis vil Mint Sandstorm engasjere seg med den målrettede personen i dekke av å be om et intervju eller starte en samtale om spesifikke emner, og til slutt manipulere e-posttråden til det punktet at individet kan overbevises om å klikke på en lenke, sier Secureworks' Pilling.
Hvis gruppen kan stjele legitimasjon for en e-postkonto, vil den ofte bruke den til å bedre posere som en legitim journalist eller forsker, sier Pilling.
"Det å kompromittere e-postkontoen til en journalist for deretter å målrette mot andre individer er mye mindre vanlig, men ikke uhørt," sier han. "Noen statsstøttede grupper vil kompromittere organisasjoner som deres mål jobber med for å sende phishing-angrep som er mer sannsynlig å stole på av deres virkelige mål."
Tilpassede bakdører for cyberspionasje
Når angriperne har fått kontakt med målet sitt, sender de en e-post som inneholder en lenke til et ondsinnet domene, som ofte fører til en RAR-arkivfil som de hevder inneholder et utkast til dokument for gjennomgang. Gjennom en rekke trinn ville angriperne til slutt droppe ett av to tilpassede bakdørsprogrammer: MediaPI, som poserer som Windows Media Player, eller MischiefTut, et verktøy skrevet i PowerShell.
"Mint Sandstorm fortsetter å forbedre og modifisere verktøyene som brukes i målmiljøene, aktivitet som kan hjelpe gruppen med å fortsette i et kompromittert miljø og bedre unngå gjenkjenning," sa Microsoft.
Nasjonalstatsstøttede grupper og økonomisk motiverte nettkriminelle deler ofte teknikker, så bruken av tilpasset bakdør er en bemerkelsesverdig, skrev Callie Guenther, seniorleder for forskning på nettrusler ved Critical Start, i en uttalelse.
"Spredningen av disse taktikkene kan signalisere en generell eskalering i cybertrussellandskapet," sa hun. "Det som begynner som et målrettet, geopolitisk motivert angrep kan utvikle seg til en mer utbredt trussel, som påvirker et større antall organisasjoner og enkeltpersoner."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- : har
- :er
- :ikke
- a
- Om oss
- akademisk
- Ifølge
- Logg inn
- kontoer
- Aktiviteter
- aktivitet
- aktører
- faktisk
- vedta
- Affairs
- påvirker
- mot
- mål
- justere
- tillate
- også
- an
- analyse
- og
- noen
- APT
- Arkiv
- ER
- områder
- ARM
- AS
- assosiert
- At
- angripe
- Angrep
- backdoor
- Bakdører
- BE
- være
- Bedre
- men
- by
- Samtaler
- Kampanje
- Kampanjer
- CAN
- hevder
- klikk
- tett
- samling
- Felles
- Selskapet
- kompromiss
- kompromittert
- kompromittere
- konkluderer
- dirigerer
- konflikt
- ansett
- anser
- inneholder
- fortsetter
- Samtale
- overbevist
- kunne
- Motvirke
- dekke
- Credentials
- kritisk
- skikk
- nettkriminelle
- levere
- Gjenkjenning
- Regissør
- dokument
- dokumentere
- domene
- Utkast
- Drop
- østlige
- pedagogisk
- lærere
- innsats
- emalje
- e-post
- engasjere
- Ingeniørarbeid
- Ingeniører
- Miljø
- miljøer
- eskalering
- spionasje
- Eter (ETH)
- unngå
- etter hvert
- utvikle seg
- eksempel
- eksperter
- filet
- økonomisk
- Til
- ofte
- fra
- funksjoner
- fikk
- samle
- geopolitisk
- Regjeringen
- Gruppe
- Gruppens
- Guard
- kjennetegnene
- Ha
- he
- hjelpe
- svært
- HTTPS
- identifisere
- Illusion
- forbedre
- in
- individuelt
- individer
- informasjon
- initiere
- forekomster
- institusjoner
- Intelligens
- hensikt
- interesse
- Intervju
- inn
- Iran
- iransk
- Islamic
- saker
- IT
- DET ER
- journalist
- Journalister
- jpg
- kjent
- landskap
- større
- Siste
- I fjor
- siste
- ledende
- legitim
- mindre
- i likhet med
- Sannsynlig
- LINK
- knyttet
- skadelig
- malware
- leder
- manipulere
- mange
- moden
- Media
- Microsoft
- Middle
- kunne
- Militær
- minoritet
- mynte
- modifisere
- mer
- mest
- motivert
- mye
- Frivillige organisasjoner
- bemerkelsesverdig
- Antall
- of
- off
- ofte
- on
- ONE
- operatører
- or
- organisasjoner
- Annen
- ut
- samlet
- pasient
- prospektet
- phishing
- phishing-angrep
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- Point
- politikk
- politisk
- positurer
- PowerShell
- fagfolk
- programmer
- raskt
- ekte
- regelmessig
- i slekt
- ber om
- forskning
- forsker
- forskere
- ressurskrevende
- anmeldelse
- revolusjonær
- Kjør
- s
- Sa
- sier
- sikkerhet
- sett
- send
- senior
- Serien
- Del
- hun
- Signal
- dyktig
- So
- selskap
- Sosialteknikk
- noen
- sofistikert
- spesialister
- spesifikk
- spre
- Begynn
- uttalte
- Uttalelse
- Steps
- Strategisk
- Studer
- emne
- undertrykkelse
- overvåking
- vedvarende
- Systemer
- taktikk
- tatt
- Target
- målrettet
- rettet mot
- mål
- lag
- teknisk sett
- teknikker
- Det
- De
- deres
- deretter
- Disse
- de
- denne
- denne uka
- De
- trussel
- trusselaktører
- trussel etterretning
- Gjennom
- Ties
- til
- verktøy
- temaer
- klarert
- to
- typisk
- enhet
- universiteter
- bruke
- brukt
- Brukere
- bruker
- Ve
- ofre
- krig
- we
- uke
- VI VIL
- Hva
- hvilken
- HVEM
- hvem sin
- utbredt
- vil
- vinduer
- med
- innenfor
- Dame
- Arbeid
- ville
- skrevet
- skrev
- år
- zephyrnet