Den Iran-tilknyttede Mint Sandstorm-gruppe retter sig mod specialister i mellemøstlige anliggender på universiteter og forskningsorganisationer med overbevisende social ingeniørbestræbelser, som afsluttes med at levere malware og kompromittere ofrenes systemer.
Den seneste spionagekampagne fra Mint Sandstorm-gruppen, som har bånd til det iranske militær, har til formål at stjæle information fra journalister, forskere, professorer og andre fagfolk, der dækker sikkerheds- og politiske emner af interesse for den iranske regering.
Ifølge en Microsoft-rådgivning I denne uge bruger cyberspionagegruppen lokkemidler relateret til Israel-Hamas-krigen, hvilket får Microsoft til at konkludere, at gruppen sandsynligvis har til hensigt at indsamle efterretninger om og perspektiver om denne konflikt fra politiske eksperter.
Gruppen er kendt for sin vedholdende og vedvarende indsats, hedder det i analysen.
"Tålmodige og højtuddannede socialingeniører"
Mint Sandstorm er Microsofts navn for en samling af cyberoperationshold knyttet til Islamic Revolutionary Guard Corps (IRGC), en efterretningsarm af Irans militær.
Gruppen overlapper med trusselsaktører kendt som APT35 af Googles Mandiant og Charmerende killing af Crowdstrike; den seneste spionagekampagne er sandsynligvis drevet af en "teknisk og operationelt moden undergruppe af Mint Sandstorm," sagde virksomheden.
"Operatører tilknyttet denne undergruppe af Mint Sandstorm er tålmodige og yderst dygtige sociale ingeniører, hvis håndværk mangler mange af de kendetegn, der tillader brugere hurtigt at identificere phishing-e-mails," udtalte Microsoft Threat Intelligence i analysen. "I nogle tilfælde af denne kampagne brugte denne undergruppe også legitime, men kompromitterede konti til at sende phishing-lokker."
Gruppen er velkendt for sofistikerede social engineering-kampagner, ifølge Secureworks, som anser Microsofts Mint Sandstorm for at være tættest på linje med gruppen, som Secureworks' Counter Threat Unit (CTU) kalder "Cobalt Illusion."
Gruppen udfører regelmæssigt overvågnings- og spionageaktiviteter mod dem, der anses for at være en trussel mod den iranske regering - for eksempel rettet mod forskere, der dokumenterer undertrykkelsen af kvinder og minoritetsgrupper sidste år, siger Rafe Pilling, direktør for trusselsforskning for CTU.
"Enhver institution eller forskere, der studerer emner af strategisk eller politisk interesse for Irans regering eller deres underordnede efterretningsfunktioner, kunne være et mål," siger han. "Vi har set journalister og akademiske forskere, der dækker iranske og mellemøstlige politiske, politiske og sikkerhedsmæssige spørgsmål, blive målrettet såvel som IGO'er og ngo'er, der arbejder i Iran eller i områder af interesse for Iran."
Imitatorer Extraordinaire
Koncernen udfører ofte ressourcekrævende social engineering kampagner mod målrettede grupper eller enkeltpersoner, ligesom russiske APT gruppe ColdRiver, også genstand for trusselsefterretningsanalyse i denne uge. At adoptere journalisters eller kendte forskeres mien er en typisk taktik for Mint Sandstorm, og målretning mod uddannelsesinstitutioner har også taget fart.
Typisk vil Mint Sandstorm engagere sig med den målrettede person i skikkelse af at anmode om et interview eller indlede en samtale om specifikke emner, og til sidst manipulere e-mail-tråden til det punkt, at den enkelte kan overbevises om at klikke på et link, siger Secureworks' Pilling.
Hvis gruppen kan stjæle legitimationsoplysninger til en e-mail-konto, vil den ofte bruge det til bedre at posere som en legitim journalist eller forsker, siger Pilling.
"Faktisk at kompromittere en journalists e-mail-konto for derefter at målrette mod andre individer er meget mindre almindeligt, men ikke uhørt," siger han. "Nogle statssponsorerede grupper vil kompromittere organisationer, som deres mål arbejder med, for at sende phishing-angreb, der er mere tilbøjelige til at stole på deres rigtige mål."
Brugerdefinerede bagdøre til cyberspionage
Når angriberne har opnået forbindelse med deres mål, sender de en e-mail med et link til et ondsindet domæne, hvilket ofte fører til en RAR-arkivfil, som de hævder indeholder et udkast til dokument til gennemgang. Gennem en række trin ville angriberne til sidst droppe et af to brugerdefinerede bagdørsprogrammer: MediaPI, der poserer som Windows Media Player, eller MischiefTut, et værktøj skrevet i PowerShell.
"Mint Sandstorm fortsætter med at forbedre og ændre det værktøj, der bruges i måls miljøer, aktivitet, der kan hjælpe gruppen med at fortsætte i et kompromitteret miljø og bedre undgå registrering," sagde Microsoft.
Nationalstatsstøttede grupper og økonomisk motiverede cyberkriminelle deler ofte teknikker, så brugen af tilpasset bagdør er en bemærkelsesværdig, skrev Callie Guenther, en senior manager for cybertrusselforskning hos Critical Start, i en erklæring.
"Spredningen af disse taktikker kan signalere en generel eskalering i cybertrussellandskabet," sagde hun. "Hvad der begynder som et målrettet, geopolitisk motiveret angreb kan udvikle sig til en mere udbredt trussel, der påvirker et større antal organisationer og enkeltpersoner."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :har
- :er
- :ikke
- 7
- a
- Om
- akademisk
- Ifølge
- Konto
- Konti
- aktiviteter
- aktivitet
- aktører
- faktisk
- Vedtagelsen
- Anliggender
- påvirker
- mod
- målsætninger
- tilpasse
- tillade
- også
- an
- analyse
- ,
- enhver
- APT
- Arkiv
- ER
- områder
- ARM
- AS
- forbundet
- At
- angribe
- Angreb
- bagdør
- Bagdøre
- BE
- være
- Bedre
- men
- by
- Opkald
- Kampagne
- Kampagner
- CAN
- krav
- klik
- nøje
- Cobalt
- samling
- Fælles
- selskab
- kompromis
- Kompromitteret
- at gå på kompromis
- konkluderer
- adfærd
- konflikt
- betragtes
- anser
- indeholder
- fortsætter
- Samtale
- overbevist
- kunne
- Counter
- dæksel
- Legitimationsoplysninger
- kritisk
- skik
- cyberkriminelle
- leverer
- Detektion
- Direktør
- dokumentet
- domæne
- udkast
- Drop
- østlige
- uddannelsesmæssige
- pædagoger
- indsats
- emails
- engagere
- Engineering
- Ingeniører
- Miljø
- miljøer
- optrapning
- spionage
- Unddrage
- til sidst
- udvikle sig
- eksempel
- eksperter
- File (Felt)
- økonomisk
- Til
- hyppigt
- fra
- funktioner
- vundet
- samle
- geopolitisk
- Regering
- gruppe
- Gruppens
- Guard
- vej
- Have
- he
- hjælpe
- stærkt
- HTTPS
- identificere
- Illusion
- Forbedre
- in
- individuel
- enkeltpersoner
- oplysninger
- institutioner
- Intelligens
- hensigt
- interesse
- Interview
- ind
- Iran
- iransk
- Islamic
- spørgsmål
- IT
- ITS
- journalist
- Journalister
- jpg
- kendt
- landskab
- større
- Efternavn
- Sidste år
- seneste
- førende
- legitim
- mindre
- ligesom
- Sandsynlig
- LINK
- forbundet
- ondsindet
- malware
- leder
- manipulere
- mange
- modne
- Medier
- microsoft
- Mellemøsten
- måske
- Militær
- mindretal
- mynte
- ændre
- mere
- mest
- motiveret
- meget
- Ngo'er
- bemærkelsesværdig
- nummer
- of
- off
- tit
- on
- ONE
- Operatører
- or
- organisationer
- Andet
- ud
- samlet
- patient
- perspektiver
- Phishing
- phishing-angreb
- plato
- Platon Data Intelligence
- PlatoData
- spiller
- Punkt
- politik
- politisk
- udgør
- udgør
- PowerShell
- professionelle partnere
- Programmer
- hurtigt
- ægte
- regelmæssigt
- relaterede
- anmoder
- forskning
- forsker
- forskere
- ressourceintensive
- gennemgå
- revolutionerende
- Kør
- s
- Said
- siger
- sikkerhed
- set
- send
- senior
- Series
- Del
- hun
- Signal
- faglært
- So
- Social
- Samfundsteknologi
- nogle
- sofistikeret
- specialister
- specifikke
- spredes
- starte
- erklærede
- Statement
- Steps
- Strategisk
- Studere
- emne
- undertrykkelse
- overvågning
- Systemer
- taktik
- taget
- mål
- målrettet
- rettet mod
- mål
- hold
- teknisk set
- teknikker
- at
- deres
- derefter
- Disse
- de
- denne
- denne uge
- dem
- trussel
- trusselsaktører
- Gennem
- Slips
- til
- værktøj
- Emner
- betroet
- to
- typisk
- enhed
- Universiteter
- brug
- anvendte
- brugere
- bruger
- Ve
- ofre
- krig
- we
- uge
- GODT
- Hvad
- som
- WHO
- hvis
- udbredt
- vilje
- vinduer
- med
- inden for
- Dame
- Arbejde
- ville
- skriftlig
- skrev
- år
- zephyrnet