De aan Iran gelieerde Mint Sandstorm-groep richt zich op specialisten op het gebied van Midden-Oostenzaken aan universiteiten en onderzoeksorganisaties met overtuigende social engineering-inspanningen, die eindigen met het leveren van malware en het compromitteren van de systemen van slachtoffers.
De nieuwste spionagecampagne van de Mint Sandstorm-groep, die banden heeft met het Iraanse leger, heeft tot doel informatie te stelen van journalisten, onderzoekers, professoren en andere professionals die zich bezighouden met veiligheids- en beleidsonderwerpen die van belang zijn voor de Iraanse regering.
Think een Microsoft-advies deze week uit, maakt de cyberspionagegroep gebruik van kunstaas die verband houdt met de oorlog tussen Israรซl en Hamas, wat ertoe leidt dat Microsoft concludeert dat de groep waarschijnlijk van plan is informatie over en perspectieven over dat conflict te verzamelen van beleidsexperts.
De groep staat bekend om zijn aanhoudende en aanhoudende inspanningen, aldus de analyse.
โGeduldige en hooggekwalificeerde sociale ingenieursโ
Muntzandstorm is Microsofts naam voor een verzameling cyberoperatieteams die verbonden zijn met de Islamitische Revolutionaire Garde (IRGC), een inlichtingenafdeling van het Iraanse leger.
De groep overlapt met bedreigingsactoren die bekend staan โโals APT35 door Google's Mandiant en Charmant kitten door Crowdstrike; De nieuwste spionagecampagne wordt waarschijnlijk geleid door een โtechnisch en operationeel volwassen subgroep van Mint Sandstormโ, aldus het bedrijf.
โOperators die bij deze subgroep van Mint Sandstorm horen, zijn geduldige en zeer bekwame sociale ingenieurs wier vakmanschap veel van de kenmerken mist waarmee gebruikers snel phishing-e-mails kunnen identificerenโ, aldus Microsoft Threat Intelligence in de analyse. โIn sommige gevallen van deze campagne gebruikte deze subgroep ook legitieme maar gecompromitteerde accounts om phishing-lokmiddelen te verzenden.โ
De groep staat bekend om geavanceerde social engineering-campagnes, volgens Secureworks, die van mening is dat Microsoft's Mint Sandstorm het meest aansluit bij de Counter Threat Unit (CTU) van de groep die Secureworks 'Cobalt Illusion' noemt.
De groep voert regelmatig surveillance- en spionageactiviteiten uit tegen degenen die als een bedreiging voor de Iraanse regering worden beschouwd โ bijvoorbeeld door onderzoekers te targeten die vorig jaar de onderdrukking van vrouwen en minderheidsgroepen documenteerden, zegt Rafe Pilling, directeur dreigingsonderzoek voor de CTU.
โAlle instellingen of onderzoekers die onderwerpen bestuderen die van strategisch of politiek belang zijn voor de regering van Iran of hun ondergeschikte inlichtingenfuncties kunnen een doelwit zijnโ, zegt hij. โWe hebben gezien dat journalisten en academische onderzoekers die zich bezighouden met politieke, beleids- en veiligheidskwesties in Iran en het Midden-Oosten het doelwit zijn, evenals IGOโs en NGOโs die binnen Iran werken of in gebieden die van belang zijn voor Iran.โ
Imitators Extraordinaire
De groep voert vaak resource-intensieve activiteiten uit social engineering campagnes tegen gerichte groepen of individuen, net zoals de Russische APT-groep ColdRiver, ook deze week het onderwerp van de analyse van dreigingsinformatie. Het overnemen van de houding van journalisten of bekende onderzoekers is een typische tactiek van Mint Sandstorm, en het aanvallen op onderwijsinstellingen heeft ook een grote vlucht genomen.
Normaal gesproken zal Mint Sandstorm met de beoogde persoon in gesprek gaan onder het mom van het aanvragen van een interview of het initiรซren van een gesprek over specifieke onderwerpen, en uiteindelijk de e-mailthread zo manipuleren dat het individu overtuigd kan worden om op een link te klikken, zegt Pilling van Secureworks.
Als de groep inloggegevens voor een e-mailaccount kan stelen, zal ze die vaak gebruiken om zich beter voor te doen als een legitieme journalist of onderzoeker, zegt Pilling.
โHet daadwerkelijk compromitteren van het e-mailaccount van een journalist om zich vervolgens op andere individuen te richten is veel minder gebruikelijk, maar niet ongehoordโ, zegt hij. โSommige door de staat gesponsorde groepen zullen organisaties waarmee hun doelwitten samenwerken in gevaar brengen om phishing-aanvallen te versturen die waarschijnlijker worden vertrouwd door hun echte doelwit.โ
Aangepaste achterdeurtjes voor cyberspionage
Zodra de aanvallers een goede verstandhouding met hun doelwit hebben bereikt, sturen ze een e-mail met een link naar een kwaadaardig domein, wat vaak leidt tot een RAR-archiefbestand waarvan ze beweren dat het een conceptdocument ter beoordeling bevat. Via een reeks stappen zouden de aanvallers uiteindelijk een van de twee aangepaste achterdeurprogramma's laten vallen: MediaPI, dat zich voordoet als Windows Media Player, of MischiefTut, een tool geschreven in PowerShell.
โMint Sandstorm gaat door met het verbeteren en aanpassen van de tools die worden gebruikt in de omgevingen van doelwitten, activiteiten die de groep kunnen helpen vol te houden in een gecompromitteerde omgeving en detectie beter te omzeilenโ, aldus Microsoft.
Door de natiestaat gesteunde groepen en financieel gemotiveerde cybercriminelen delen vaak technieken, dus het gebruik van aangepaste achterdeur is opmerkelijk, schreef Callie Guenther, een senior manager voor onderzoek naar cyberdreigingen bij Critical Start, in een verklaring.
โDe verspreiding van deze tactieken zou kunnen wijzen op een algehele escalatie van het cyberdreigingslandschapโ, zei ze. โWat begint als een gerichte, geopolitiek gemotiveerde aanval zou kunnen uitgroeien tot een meer wijdverbreide dreiging, die een groter aantal organisaties en individuen treft.โ
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- : heeft
- :is
- :niet
- 7
- a
- Over
- academische
- Volgens
- Account
- accounts
- activiteiten
- activiteit
- actoren
- werkelijk
- De goedkeuring van
- Zaken
- die van invloed
- tegen
- wil
- richten
- toelaten
- ook
- an
- analyse
- en
- elke
- APT
- Archief
- ZIJN
- gebieden
- ARM
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- achterdeur
- Backdoors
- BE
- wezen
- Betere
- maar
- by
- oproepen
- Campagne
- Campagnes
- CAN
- aanspraak maken op
- Klik
- van nabij
- Cobalt
- Collectie
- Gemeen
- afstand
- compromis
- Aangetast
- afbreuk te doen aan
- concludeert
- gedragingen
- conflict
- beschouwd
- beschouwt
- bevat
- blijft
- Gesprek
- overtuigd
- kon
- Counter
- deksel
- Geloofsbrieven
- kritisch
- gewoonte
- cybercriminelen
- het leveren van
- Opsporing
- Director
- document
- domein
- draft
- Val
- oostelijk
- onderwijs
- opvoeders
- inspanningen
- e-mails
- toegewijd
- Engineering
- Ingenieurs
- Milieu
- omgevingen
- escalatie
- spionage
- ontwijken
- uiteindelijk
- ontwikkelen
- voorbeeld
- deskundigen
- Dien in
- financieel
- Voor
- vaak
- oppompen van
- functies
- opgedaan
- verzamelen
- geopolitiek
- Kopen Google Reviews
- Overheid
- Groep
- Groep
- bewaker
- weg
- Hebben
- he
- hulp
- zeer
- HTTPS
- identificeren
- Illusie
- verbeteren
- in
- individueel
- individuen
- informatie
- instellingen
- Intelligentie
- voornemens
- belang
- Interview
- in
- Iran
- Iraans
- Islamitisch
- problemen
- IT
- HAAR
- journalist
- Journalisten
- jpg
- bekend
- Landschap
- groter
- Achternaam*
- Afgelopen jaar
- laatste
- leidend
- rechtmatig
- minder
- als
- Waarschijnlijk
- LINK
- gekoppeld
- kwaadaardig
- malware
- manager
- manipuleren
- veel
- volwassen
- Media
- Microsoft
- Midden
- macht
- Leger
- minderheid
- munt
- wijzigen
- meer
- meest
- gemotiveerde
- veel
- NGO's
- opvallend
- aantal
- of
- korting
- vaak
- on
- EEN
- exploitanten
- or
- organisaties
- Overige
- uit
- totaal
- patiรซnt
- perspectieven
- Phishing
- phishing-aanvallen
- Plato
- Plato gegevensintelligentie
- PlatoData
- speler
- punt
- beleidsmaatregelen
- politiek
- pose
- vormt
- PowerShell
- professionals
- Programma's
- snel
- vast
- regelmatig
- verwant
- aanvragen
- onderzoek
- onderzoeker
- onderzoekers
- arbeidsintensief
- beoordelen
- revolutionair
- lopen
- s
- Zei
- zegt
- veiligheid
- gezien
- sturen
- senior
- -Series
- Delen
- ze
- Signaal
- geschoold
- So
- Social
- Social engineering
- sommige
- geraffineerd
- specialisten
- specifiek
- verspreiden
- begin
- bepaald
- Statement
- Stappen
- strategisch
- Studie
- onderwerpen
- onderdrukking
- toezicht
- Systems
- tactiek
- ingenomen
- doelwit
- doelgerichte
- targeting
- doelen
- teams
- technisch
- technieken
- dat
- De
- hun
- harte
- Deze
- ze
- dit
- deze week
- die
- bedreiging
- bedreigingsactoren
- Door
- Ties
- naar
- tools
- onderwerpen
- vertrouwde
- twee
- typisch
- eenheid
- Universiteiten
- .
- gebruikt
- gebruikers
- toepassingen
- Ve
- slachtoffers
- oorlog
- we
- week
- GOED
- Wat
- welke
- WIE
- waarvan
- wijd verspreid
- wil
- ruiten
- Met
- binnen
- Dames
- Mijn werk
- zou
- geschreven
- schreef
- jaar
- zephyrnet