Le groupe Mint Sandstorm, lié à l’Iran, cible les spécialistes des affaires du Moyen-Orient dans les universités et les organismes de recherche avec des efforts d’ingénierie sociale convaincants, qui aboutissent à la diffusion de logiciels malveillants et à la compromission des systèmes des victimes.
La dernière campagne d'espionnage du groupe Mint Sandstorm, qui a des liens avec l'armée iranienne, vise à voler des informations aux journalistes, chercheurs, professeurs et autres professionnels qui couvrent des sujets de sécurité et de politique d'intérêt pour le gouvernement iranien.
Selon un avis Microsoft cette semaine, le groupe de cyberespionnage utilise des leurres liés à la guerre entre Israël et le Hamas, ce qui amène Microsoft à conclure que le groupe a probablement l'intention de recueillir des renseignements et des perspectives sur ce conflit auprès d'experts politiques.
Le groupe est bien connu pour ses efforts persistants et soutenus, indique l'analyse.
« Ingénieurs sociaux patients et hautement qualifiés »
Menthe Tempête de Sable est Le nom de Microsoft pour un ensemble d’équipes de cyberopérations liées au Corps des Gardiens de la révolution islamique (CGRI), une branche de renseignement de l’armée iranienne.
Le groupe chevauche des acteurs menaçants connus sous le nom de APT35 par Mandiant de Google et Charmant chaton par Crowdstrike ; la dernière campagne d’espionnage est probablement menée par un « sous-groupe techniquement et opérationnellement mature de Mint Sandstorm », a indiqué la société.
"Les opérateurs associés à ce sous-groupe de Mint Sandstorm sont des ingénieurs sociaux patients et hautement qualifiés dont le savoir-faire ne possède pas de nombreuses caractéristiques permettant aux utilisateurs d'identifier rapidement les e-mails de phishing", a déclaré Microsoft Threat Intelligence dans l'analyse. "Dans certains cas de cette campagne, ce sous-groupe a également utilisé des comptes légitimes mais compromis pour envoyer des leurres de phishing."
Le groupe est bien connu pour ses campagnes d’ingénierie sociale sophistiquées, selon Secureworks, qui considère Mint Sandstorm de Microsoft comme étant le plus proche du groupe Counter Threat Unit (CTU) de Secureworks appelé « Cobalt Illusion ».
Le groupe mène régulièrement des activités de surveillance et d’espionnage contre ceux considérés comme une menace pour le gouvernement iranien – ciblant par exemple les chercheurs documentant la répression des femmes et des groupes minoritaires l’année dernière, explique Rafe Pilling, directeur de la recherche sur les menaces à la CTU.
« Toute institution ou chercheur qui étudie des sujets d’intérêt stratégique ou politique pour le gouvernement iranien ou pour leurs fonctions de renseignement subordonnées pourrait être une cible », dit-il. « Nous avons vu des journalistes et des chercheurs universitaires qui couvrent les questions politiques et sécuritaires iraniennes et du Moyen-Orient, ainsi que des OIG et des ONG qui travaillent en Iran ou dans des domaines d’intérêt pour l’Iran. »
Imitateurs extraordinaires
Le groupe mène fréquemment des actions exigeantes en ressources ingénierie sociale campagnes contre des groupes ou des individus ciblés, tout comme les Le groupe russe APT ColdRiver, a également fait l'objet d'une analyse des renseignements sur les menaces cette semaine. Adopter l’attitude de journalistes ou de chercheurs connus est une tactique typique de Mint Sandstorm, et le ciblage des établissements d’enseignement a également pris de l’ampleur.
En règle générale, Mint Sandstorm dialoguera avec la personne ciblée sous le couvert d'une demande d'entretien ou d'une conversation sur des sujets spécifiques, pour finalement manipuler le fil de discussion au point que la personne peut être convaincue de cliquer sur un lien, explique Pilling de Secureworks.
Si le groupe parvient à voler les identifiants d'un compte de messagerie, il les utilisera souvent pour mieux se faire passer pour un journaliste ou un chercheur légitime, explique Pilling.
"En fait, compromettre le compte de messagerie d'un journaliste pour ensuite cibler d'autres personnes est beaucoup moins courant, mais pas inconnu", dit-il. « Certains groupes parrainés par l'État compromettent les organisations avec lesquelles leurs cibles travaillent pour lancer des attaques de phishing auxquelles leur véritable cible est plus susceptible de faire confiance. »
Portes dérobées personnalisées pour le cyberespionnage
Une fois que les attaquants ont établi un rapport avec leur cible, ils envoient un e-mail contenant un lien vers un domaine malveillant, conduisant souvent à un fichier d'archive RAR qui, selon eux, contient un brouillon de document à examiner. En suivant une série d'étapes, les attaquants finiraient par abandonner l'un des deux programmes de porte dérobée personnalisés : MediaPI, qui se fait passer pour Windows Media Player, ou MischiefTut, un outil écrit en PowerShell.
"Mint Sandstorm continue d'améliorer et de modifier les outils utilisés dans les environnements des cibles, activité qui pourrait aider le groupe à persister dans un environnement compromis et à mieux échapper à la détection", a déclaré Microsoft.
Les groupes soutenus par des États-nations et les cybercriminels motivés par l'argent partagent souvent des techniques, de sorte que l'utilisation de portes dérobées personnalisées est une particularité notable, a écrit Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start, dans un communiqué.
« La propagation de ces tactiques pourrait signaler une escalade globale du paysage des cybermenaces », a-t-elle déclaré. « Ce qui commence comme une attaque ciblée et motivée par des raisons géopolitiques pourrait évoluer vers une menace plus répandue, affectant un plus grand nombre d’organisations et d’individus. »
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :possède
- :est
- :ne pas
- 7
- a
- Qui sommes-nous
- académique
- Selon
- Compte
- hybrides
- activités
- activité
- acteurs
- actually
- L'adoption d'
- Affaires
- affectant
- à opposer à
- vise
- aligner
- permettre
- aussi
- an
- selon une analyse de l’Université de Princeton
- ainsi que les
- tous
- APT
- Archive
- SONT
- domaines
- BRAS
- AS
- associé
- At
- attaquer
- Attaques
- détourné
- Backdoors
- BE
- va
- Améliorée
- mais
- by
- Appels
- Campagne
- Campagnes
- CAN
- réclamer
- cliquez
- étroitement
- Cobalt
- collection
- Commun
- Société
- compromis
- Compromise
- compromettre
- conclut
- conduit
- conflit
- considéré
- considère
- contient
- continue
- Conversation
- convaincu
- pourriez
- Counter
- couverture
- Lettres de créance
- critique
- Customiser
- les cybercriminels
- livrer
- Détection
- Directeur
- document
- domaine
- avant-projet
- Goutte
- est
- pédagogique
- éducateurs
- efforts
- emails
- s'engager
- ENGINEERING
- Les ingénieurs
- Environment
- environnements
- escalade
- espionnage
- éluder
- faire une éventuelle
- évolue
- exemple
- de santé
- Déposez votre dernière attestation
- financièrement
- Pour
- fréquemment
- de
- fonctions
- gagné
- recueillir
- géopolitiquement
- Gouvernement
- Réservation de groupe
- Groupes
- Garde
- apparence
- Vous avez
- he
- vous aider
- très
- HTTPS
- identifier
- Illusion
- améliorer
- in
- individuel
- individus
- d'information
- les établissements privés
- Intelligence
- a l'intention
- intérêt
- Interview
- développement
- l'Iran
- iranien
- Islamique
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- SES
- journaliste
- Les journalistes ;
- jpg
- connu
- paysage d'été
- plus importantes
- Nom de famille
- L'année dernière
- Nouveautés
- conduisant
- légitime
- moins
- comme
- Probable
- LINK
- lié
- malveillant
- malware
- manager
- manipuler
- de nombreuses
- mature
- Médias
- Microsoft
- Milieu
- pourrait
- Militaire
- minorité
- menthe
- modifier
- PLUS
- (en fait, presque toutes)
- motivés
- beaucoup
- ONG
- notable
- nombre
- of
- de rabais
- souvent
- on
- ONE
- opérateurs
- or
- organisations
- Autre
- ande
- global
- patientforward
- perspectives
- phishing
- attaques de phishing
- Platon
- Intelligence des données Platon
- PlatonDonnées
- joueur
- Point
- politique
- politique
- poser
- pose
- PowerShell
- ,une équipe de professionnels qualifiés
- Programmes
- vite.
- réal
- régulièrement
- en relation
- demandant
- un article
- chercheur
- chercheurs
- gourmande en ressources
- Avis
- révolutionnaire
- Courir
- s
- Saïd
- dit
- sécurité
- vu
- envoyer
- supérieur
- Série
- Partager
- elle
- Signal
- qualifié
- So
- Réseaux sociaux
- Ingénierie sociale
- quelques
- sophistiqué
- spécialistes
- groupe de neurones
- propagation
- Commencer
- A déclaré
- Déclaration
- Étapes
- Stratégique
- Étude
- sujet
- suppression
- surveillance
- Système
- tactique
- tâches
- Target
- des campagnes marketing ciblées,
- ciblage
- objectifs
- équipes
- techniquement
- techniques
- qui
- Les
- leur
- puis
- Ces
- l'ont
- this
- cette semaine
- ceux
- menace
- acteurs de la menace
- Avec
- Cravates
- à
- outil
- Les sujets
- confiance
- deux
- débutante
- unité
- Universités
- utilisé
- d'utiliser
- utilisateurs
- Usages
- Ve
- victimes
- guerre
- we
- semaine
- WELL
- Quoi
- qui
- WHO
- dont
- répandu
- sera
- fenêtres
- comprenant
- dans les
- Femme
- activités principales
- pourra
- code écrit
- écrit
- an
- zéphyrnet