Пов’язана з Іраном група Mint Sandstorm націлена на фахівців із питань Близького Сходу в університетах і дослідницьких організаціях, використовуючи переконливі зусилля соціальної інженерії, які завершуються розповсюдженням шкідливих програм і компрометацією систем жертв.
Остання шпигунська кампанія групи Mint Sandstorm, яка має зв’язки з іранськими військовими, спрямована на викрадення інформації від журналістів, дослідників, професорів та інших професіоналів, які висвітлюють питання безпеки та політики, що цікавлять іранський уряд.
За оцінками порада Microsoft Цього тижня група кібершпигунів використовує спокуси, пов’язані з війною Ізраїлю та Хамасу, що змусило Microsoft зробити висновок, що група, ймовірно, має намір збирати розвідувальну інформацію та погляди на цей конфлікт від експертів з політики.
Група добре відома своїми наполегливими та постійними зусиллями, йдеться в аналізі.
«Пацієнти та висококваліфіковані соціальні інженери»
М'ята піщана буря є Ім'я Microsoft для групи кіберопераційних груп, пов’язаних із Корпусом вартових ісламської революції (КВІР), розвідувальним відділом іранської армії.
Група збігається з акторами загрози, відомими як APT35 від Google Mandiant і Чарівний кошеня від Crowdstrike; Останню шпигунську кампанію, ймовірно, проводить «технічно та оперативно зріла підгрупа Mint Sandstorm», заявила компанія.
«Оператори, пов’язані з цією підгрупою Mint Sandstorm, є терплячими та висококваліфікованими соціальними інженерами, чия майстерність не має багатьох ознак, які дозволяють користувачам швидко ідентифікувати фішингові електронні листи», — йдеться в аналізі Microsoft Threat Intelligence. «У деяких випадках цієї кампанії ця підгрупа також використовувала легальні, але скомпрометовані облікові записи для надсилання фішингових принад».
За даними Secureworks, група добре відома своїми складними кампаніями соціальної інженерії, які вважають, що Mint Sandstorm від Microsoft найбільше відповідає підрозділу протидії загрозам Secureworks (CTU), який називає «Cobalt Illusion».
Група регулярно веде стеження та шпигунство проти тих, хто вважається загрозою для уряду Ірану — наприклад, нападає на дослідників, які задокументували придушення жінок і груп меншин минулого року, каже Рейф Піллінг, директор із дослідження загроз CTU.
«Будь-які установи або дослідники, які вивчають теми, що становлять стратегічний або політичний інтерес для уряду Ірану або підлеглих їм розвідувальних служб, можуть стати мішенню», — каже він. «Ми бачили, як журналісти та академічні дослідники, які висвітлюють питання політики, політики та безпеки Ірану та Близького Сходу, стають цілями, а також міжнародні та неурядові організації, які працюють в Ірані або в сферах інтересів Ірану».
Надзвичайні імітатори
Група часто проводить ресурсомісткі соціальна інженерія кампанії проти цільових груп або окремих осіб, подібно до російська APT група ColdRiver, також є предметом аналізу розвідувальних даних цього тижня. Прийняття вигляду журналістів або відомих дослідників є типовою тактикою Mint Sandstorm, а також націлилася на навчальні заклади.
Зазвичай Mint Sandstorm взаємодіє з цільовою особою під виглядом запиту на інтерв’ю або ініціювання розмови на конкретні теми, зрештою маніпулюючи потоком електронної пошти так, щоб людину можна було переконати натиснути посилання, каже Піллінг із Secureworks.
Якщо група може вкрасти облікові дані для облікового запису електронної пошти, вона часто використовуватиме це, щоб краще видати себе за законного журналіста чи дослідника, каже Піллінг.
«Насправді компрометація облікового запису електронної пошти журналіста для подальшого нападу на інших осіб є набагато менш поширеною, але нечуваною», — каже він. «Деякі спонсоровані державою групи скомпрометують організації, з якими співпрацюють їхні цілі, щоб надсилати фішингові атаки, яким, швидше за все, довірятимуть їхні справжні цілі».
Спеціальні бекдори для кібершпигунства
Коли зловмисники встановлюють стосунки зі своєю ціллю, вони надсилають електронний лист із посиланням на шкідливий домен, що часто веде до архівного файлу RAR, який, як вони стверджують, містить чернетку документа для перегляду. Виконавши серію кроків, зловмисники в кінцевому підсумку скинуть одну з двох спеціальних бекдор-програм: MediaPI, яка представляє себе як Windows Media Player, або MischiefTut, інструмент, написаний на PowerShell.
«Mint Sandstorm продовжує вдосконалювати та модифікувати інструменти, що використовуються в середовищах цілей, діяльність, яка може допомогти групі зберегтися в скомпрометованому середовищі та краще уникати виявлення», — заявила Microsoft.
Групи, які підтримуються національною державою, і фінансово вмотивовані кіберзлочинці часто діляться технікою, тому використання спеціального бекдору є помітним, написала Каллі Гюнтер, старший менеджер із дослідження кіберзагроз у Critical Start.
«Поширення цієї тактики може свідчити про загальну ескалацію ландшафту кіберзагроз», — сказала вона. «Те, що починається як цілеспрямована, геополітично вмотивована атака, може перерости в більш масштабну загрозу, яка вплине на більшу кількість організацій і окремих осіб».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- : має
- :є
- : ні
- a
- МЕНЮ
- академічний
- За
- рахунки
- Рахунки
- діяльності
- діяльність
- актори
- насправді
- Прийняття
- Справи
- зачіпає
- проти
- Цілі
- вирівнювати
- дозволяти
- Також
- an
- аналіз
- та
- будь-який
- APT
- архів
- ЕСТЬ
- області
- ARM
- AS
- асоційований
- At
- атака
- нападки
- закулісний
- бекдори
- BE
- буття
- Краще
- але
- by
- Виклики
- Кампанія
- Кампанії
- CAN
- стверджувати
- клацання
- тісно
- збір
- загальний
- компанія
- компроміс
- Компрометація
- компрометуючі
- укладає
- проводить
- конфлікт
- вважається
- вважає
- містить
- триває
- Розмова
- переконаний,
- може
- Counter
- обкладинка
- Повноваження
- критичний
- виготовлений на замовлення
- кіберзлочинці
- надання
- Виявлення
- Директор
- документ
- документування
- домен
- проект
- Падіння
- східний
- освітній
- педагогів
- зусилля
- повідомлення електронної пошти
- займатися
- Машинобудування
- Інженери
- Навколишнє середовище
- середовищах
- ескалація
- шпигунство
- Ефір (ETH)
- Втеча
- врешті-решт
- еволюціонувати
- приклад
- experts
- філе
- фінансово
- для
- часто
- від
- Функції
- отримала
- збирати
- геополітично
- Уряд
- Group
- Групи
- Охорона
- відмітні ознаки
- Мати
- he
- допомога
- дуже
- HTTPS
- ідентифікувати
- Illusion
- удосконалювати
- in
- індивідуальний
- осіб
- інформація
- ініціювання
- випадки
- установи
- Інтелект
- наміри
- інтерес
- інтерв'ю
- в
- Іран
- Іранський
- Ісламський
- питання
- IT
- ЙОГО
- журналіст
- журналісти
- JPG
- відомий
- ландшафт
- більше
- останній
- Минулого року
- останній
- провідний
- законний
- менше
- як
- Ймовірно
- LINK
- пов'язаний
- malicious
- шкідливих програм
- менеджер
- маніпулювання
- багато
- зрілий
- Медіа
- Microsoft
- Середній
- може бути
- військовий
- меншість
- м'ята
- змінювати
- більше
- найбільш
- мотивовані
- багато
- НВО
- Помітний
- номер
- of
- від
- часто
- on
- ONE
- Оператори
- or
- організації
- Інше
- з
- загальний
- пацієнт
- перспективи
- phishing
- фішинг-атаки
- plato
- Інформація про дані Платона
- PlatoData
- гравець
- точка
- політика
- політичний
- позах
- PowerShell
- професіонали
- програми
- швидко
- реальний
- регулярно
- пов'язаний
- прохання
- дослідження
- дослідник
- Дослідники
- ресурсомісткий
- огляд
- революційний
- прогін
- s
- Зазначений
- говорить
- безпеку
- бачив
- послати
- старший
- Серія
- Поділитись
- вона
- Сигнал
- кваліфікований
- So
- соціальна
- Соціальна інженерія
- деякі
- складний
- Фахівці
- конкретний
- поширення
- старт
- заявив,
- Заява
- заходи
- Стратегічний
- Вивчення
- тема
- придушення
- спостереження
- стійким
- Systems
- тактика
- прийняті
- Мета
- цільове
- націлювання
- цілі
- команди
- технічно
- методи
- Що
- Команда
- їх
- потім
- Ці
- вони
- це
- На цьому тижні
- ті
- загроза
- актори загроз
- інтелектуальна загроза
- через
- Зв'язку
- до
- інструмент
- теми
- Довірений
- два
- типовий
- блок
- університети
- використання
- використовуваний
- користувачі
- використовує
- Ve
- жертви
- війна
- we
- week
- ДОБРЕ
- Що
- який
- ВООЗ
- чий
- широко поширений
- волі
- windows
- з
- в
- жінки
- Work
- б
- письмовий
- пише
- рік
- зефірнет