Iraniin sidoksissa oleva Mint Sandstorm -ryhmä tavoittelee Lähi-idän asioiden asiantuntijoita yliopistoissa ja tutkimusorganisaatioissa vakuuttavilla sosiaalisen suunnittelun ponnisteluilla, jotka päättyvät toimittamalla haittaohjelmia ja vaarantamalla uhrien järjestelmiä.
Iranin armeijaan siteiden Mint Sandstorm -ryhmän uusimman vakoilukampanjan tavoitteena on varastaa tietoja toimittajilta, tutkijoilta, professoreilta ja muilta Iranin hallitusta kiinnostavia turvallisuus- ja politiikkaaiheita käsitteleviltä ammattilaisilta.
Mukaan Microsoftin neuvonta tällä viikolla kybervakoiluryhmä käyttää Israelin ja Hamasin väliseen sotaan liittyviä vieheitä, mikä saa Microsoftin päättelemään, että ryhmä todennäköisesti aikoo kerätä tiedustelutietoja ja näkökulmia konfliktista politiikan asiantuntijoilta.
Ryhmä on tunnettu pitkäjänteisestä ja pitkäjänteisestä työstään, analyysissa todettiin.
“Kärsiväiset ja korkeasti koulutetut sosiaaliinsinöörit”
Mint Sandstorm on Microsoftin nimi joukolle kyberoperaatioryhmiä, jotka liittyvät Islamic Revolutionary Guard Corpsiin (IRGC), joka on Iranin armeijan tiedusteluosasto.
Ryhmä on päällekkäinen uhkatoimijoiden kanssa, jotka tunnetaan nimellä APT35 Googlen Mandiant ja Viehättävä kissanpentu Crowdstriken toimesta; Viimeisintä vakoilukampanjaa johtaa todennäköisesti "teknisesti ja toiminnallisesti kypsä Mint Sandstormin alaryhmä", yhtiö sanoi.
"Tähän Mint Sandstormin alaryhmään liittyvät operaattorit ovat kärsivällisiä ja korkeasti koulutettuja sosiaalisia insinöörejä, joiden ammattitaidosta puuttuu monia tunnusmerkkejä, joiden avulla käyttäjät voivat nopeasti tunnistaa tietojenkalasteluviestit", Microsoft Threat Intelligence totesi analyysissä. "Joissakin tämän kampanjan tapauksissa tämä alaryhmä käytti myös laillisia, mutta vaarantuneita tilejä tietojenkalasteluvieheiden lähettämiseen."
Secureworksin mukaan ryhmä on tunnettu kehittyneistä sosiaalisen suunnittelun kampanjoista, joiden mukaan Microsoftin Mint Sandstorm on läheisimmin linjassa Secureworksin Counter Threat Unit (CTU) -ryhmän "Cobalt Illusion" kanssa.
Ryhmä harjoittaa säännöllisesti tarkkailu- ja vakoilutoimia Iranin hallitukselle uhkaksi katsottuja henkilöitä vastaan - esimerkiksi kohdistaen kohteena tutkijoita, jotka dokumentoivat naisten ja vähemmistöryhmien tukahduttamista viime vuonna, sanoo CTU:n uhkatutkimuksen johtaja Rafe Pilling.
"Kaikki laitokset tai tutkijat, jotka tutkivat Iranin hallitukselle tai sen alaisille tiedustelutehtäville strategisia tai poliittisia aiheita, voivat olla kohteena", hän sanoo. "Olemme nähneet toimittajia ja akateemisia tutkijoita, jotka käsittelevät Iranin ja Lähi-idän poliittisia, poliittisia ja turvallisuuskysymyksiä, sekä IGO:ita ja kansalaisjärjestöjä, jotka työskentelevät Iranissa tai Irania kiinnostavilla alueilla."
Impersonators Extraordinaire
Ryhmä toimii usein resurssivaltaisesti sosiaalinen suunnittelu kampanjat kohderyhmiä tai yksilöitä vastaan, aivan kuten Venäläinen APT-ryhmä ColdRiver, myös uhkatiedustelun analyysin aihe tällä viikolla. Toimittajien tai tunnettujen tutkijoiden omaksuminen on Mint Sandstormin tyypillistä taktiikkaa, ja myös oppilaitosten kohdistaminen on lähtenyt liikkeelle.
Tyypillisesti Mint Sandstorm on tekemisissä kohteena olevan henkilön kanssa haastattelupyynnön tai keskustelun aloittamisen varjolla, ja lopulta manipuloi sähköpostiketjua niin, että henkilö voidaan vakuuttaa napsauttamaan linkkiä, Secureworks' Pilling sanoo.
Jos ryhmä voi varastaa sähköpostitilin valtuustiedot, se käyttää niitä usein paremmaksi esiintyäkseen laillisena toimittajana tai tutkijana, Pilling sanoo.
"Itse asiassa toimittajan sähköpostitilin vaarantaminen muiden henkilöiden kohdistamiseksi on paljon harvinaisempaa, mutta ei ennenkuulumatonta", hän sanoo. "Jotkut valtion tukemat ryhmät vaarantavat organisaatiot, joiden kanssa heidän kohteensa työskentelevät, lähettääkseen tietojenkalasteluhyökkäyksiä, joihin todellinen kohde luottaa todennäköisemmin."
Mukautetut takaovet kybervakoilua varten
Kun hyökkääjät ovat saavuttaneet yhteyden kohteensa, he lähettävät sähköpostin, joka sisältää linkin haitalliseen verkkotunnukseen, mikä johtaa usein RAR-arkistotiedostoon, jonka he väittävät sisältävän asiakirjaluonnoksen tarkistettavaksi. Useiden vaiheiden avulla hyökkääjät pudottivat lopulta toisen kahdesta mukautetusta takaoviohjelmasta: MediaPI, joka esiintyy Windows Media Playerina, tai MischiefTut, PowerShellissä kirjoitettu työkalu.
"Mint Sandstorm jatkaa kohteiden ympäristöissä käytettyjen työkalujen parantamista ja muokkaamista, toimintaa, joka saattaa auttaa ryhmää pysymään vaarantuneessa ympäristössä ja välttämään havaitsemisen paremmin", Microsoft totesi.
Kansallisvaltioiden tukemat ryhmät ja taloudellisesti motivoidut kyberrikolliset jakavat usein tekniikoita, joten mukautetun takaoven käyttö on huomionarvoista, Callie Guenther, Critical Startin kyberuhkien tutkimuksesta vastaava vanhempi johtaja, kirjoitti lausunnossaan.
"Näiden taktiikkojen leviäminen voi olla merkki yleisestä kyberuhkien eskalaatiosta", hän sanoi. "Se, mikä alkaa kohdistetusta, geopoliittisesti motivoituneesta hyökkäyksestä, voi kehittyä laajemmaksi uhkaksi, joka vaikuttaa useampaan organisaatioon ja yksilöön."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :on
- :On
- :ei
- 7
- a
- Meistä
- akateeminen
- Mukaan
- Tili
- Tilit
- toiminta
- toiminta
- toimijoiden
- todella
- hyväksymällä
- Asioiden
- vaikuttavat
- vastaan
- tavoitteet
- kohdista
- sallia
- Myös
- an
- analyysi
- ja
- Kaikki
- APT
- Archive
- OVAT
- alueet
- ARM
- AS
- liittyvä
- At
- hyökkäys
- Hyökkäykset
- takaoven
- Takaportteja
- BE
- ovat
- Paremmin
- mutta
- by
- Puhelut
- Kampanja
- Kampanjat
- CAN
- vaatia
- napsauttaa
- tarkasti
- Koboltti
- kokoelma
- Yhteinen
- yritys
- kompromissi
- Vaarantunut
- vaarantamatta
- päättelee
- toimintatapoja,
- konflikti
- harkittu
- pitää
- sisältää
- jatkuu
- Keskustelu
- vakuuttunut
- voisi
- Laskuri
- kattaa
- Valtakirja
- kriittinen
- asiakassuhde
- verkkorikollisille
- tuottaa
- Detection
- Johtaja
- asiakirja
- verkkotunnuksen
- luonnos
- Pudota
- itäinen
- koulutus-
- kasvattajien
- ponnisteluja
- sähköpostit
- sitoutua
- Tekniikka
- Engineers
- ympäristö
- ympäristöissä
- laajenemisen
- vakoilu
- kiertää
- lopulta
- kehittää
- esimerkki
- asiantuntijat
- filee
- taloudellisesti
- varten
- usein
- alkaen
- tehtävät
- saadut
- kerätä
- geopoliittisesti
- Hallitus
- Ryhmä
- Ryhmän
- Vartija
- tapa
- Olla
- he
- auttaa
- erittäin
- HTTPS
- tunnistaa
- Illuusio
- parantaa
- in
- henkilökohtainen
- henkilöt
- tiedot
- laitokset
- Älykkyys
- aikoo
- korko
- Haastatella
- tulee
- Iran
- iranilainen
- Islamilainen
- kysymykset
- IT
- SEN
- toimittaja
- journalistit
- jpg
- tunnettu
- Landschaft
- suurempi
- Sukunimi
- Viime vuonna
- uusin
- johtava
- laillinen
- vähemmän
- pitää
- Todennäköisesti
- LINK
- liittyvät
- ilkeä
- haittaohjelmat
- johtaja
- käsittelylaite
- monet
- kypsä
- Media
- Microsoft
- Keskimmäinen
- ehkä
- Sotilaallinen
- vähemmistö
- minttu
- muokata
- lisää
- eniten
- motivoituneita
- paljon
- Kansalaisjärjestöt
- merkittävä
- numero
- of
- pois
- usein
- on
- ONE
- operaattorit
- or
- organisaatioiden
- Muut
- ulos
- yleinen
- potilas
- näkökulmia
- Phishing
- tietojenkalasteluhyökkäykset
- Platon
- Platonin tietotieto
- PlatonData
- soitin
- Kohta
- politiikka
- poliittinen
- aiheuttaa
- aiheuttaa
- PowerShell
- ammattilaiset
- Ohjelmat
- nopeasti
- todellinen
- säännöllisesti
- liittyvä
- pyytävät
- tutkimus
- tutkija
- Tutkijat
- resursseja kuluttava
- arviot
- vallankumouksellinen
- ajaa
- s
- Said
- sanoo
- turvallisuus
- nähneet
- lähettää
- vanhempi
- Sarjat
- Jaa:
- hän
- signaali
- taitava
- So
- sosiaalinen
- Sosiaalinen insinööri
- jonkin verran
- hienostunut
- asiantuntijat
- erityinen
- levitä
- Alkaa
- totesi
- Lausunto
- Askeleet
- Strateginen
- tutkimus
- aihe
- tukahduttaminen
- valvonta
- järjestelmät
- taktiikka
- otettava
- Kohde
- kohdennettu
- kohdistaminen
- tavoitteet
- tiimit
- teknisesti
- tekniikat
- että
- -
- heidän
- sitten
- Nämä
- ne
- tätä
- tällä viikolla
- ne
- uhkaus
- uhka toimijat
- Kautta
- Ties
- että
- työkalu
- Aiheet
- luotettu
- kaksi
- tyypillinen
- yksikkö
- Yliopistot
- käyttää
- käytetty
- Käyttäjät
- käyttötarkoituksiin
- Ve
- uhrit
- sota
- we
- viikko
- HYVIN
- Mitä
- joka
- KUKA
- jonka
- laajalle levinnyt
- tulee
- ikkunat
- with
- sisällä
- Naiset
- Referenssit
- olisi
- kirjallinen
- kirjoitti
- vuosi
- zephyrnet