Powiązana z Iranem grupa Mint Sandstorm atakuje specjalistów ds. Bliskiego Wschodu na uniwersytetach i w organizacjach badawczych, podejmując przekonujące wysiłki w zakresie inżynierii społecznej, które kończą się dostarczaniem złośliwego oprogramowania i naruszaniem systemów ofiar.
Najnowsza kampania szpiegowska grupy Mint Sandstorm, powiązanej z irańską armią, ma na celu kradzież informacji od dziennikarzy, badaczy, profesorów i innych specjalistów zajmujących się kwestiami bezpieczeństwa i polityki interesującymi irański rząd.
Zgodnie z poradnik Microsoftu W tym tygodniu grupa cyberszpiegowska wykorzystuje przynęty związane z wojną Izrael-Hamas, co prowadzi Microsoft do wniosku, że grupa prawdopodobnie zamierza zebrać informacje wywiadowcze na temat tego konfliktu i poznać jego poglądy od ekspertów politycznych.
Z analizy wynika, że grupa jest dobrze znana ze swoich nieustannych i nieustających wysiłków.
„Cierpliwi i wysoko wykwalifikowani inżynierowie społeczni”
Miętowa Burza Piaskowa jest Nazwa Microsoftu dla grupy zespołów ds. operacji cybernetycznych powiązanych z Korpusem Strażników Rewolucji Islamskiej (IRGC), wywiadowczym ramieniem irańskiej armii.
Grupa ta pokrywa się z aktorami zagrażającymi znanymi jako APT35 przez Mandiant firmy Google i Uroczy kotek przez Crowdstrike; najnowsza kampania szpiegowska jest prawdopodobnie prowadzona przez „dojrzałą technicznie i operacyjnie podgrupę Mint Sandstorm” – podała firma.
„Operatorzy związani z tą podgrupą Mint Sandstorm to cierpliwi i wysoko wykwalifikowani inżynierowie socjologiczni, których zawodowi brakuje wielu cech charakterystycznych pozwalających użytkownikom szybko identyfikować wiadomości e-mail phishingowe” – stwierdziła w analizie Microsoft Threat Intelligence. „W niektórych przypadkach tej kampanii ta podgrupa korzystała również z legalnych, ale zainfekowanych kont, aby wysyłać przynęty phishingowe”.
Według Secureworks, grupa ta jest dobrze znana z wyrafinowanych kampanii wykorzystujących inżynierię społeczną, która uważa Mint Sandstorm firmy Microsoft za najbardziej zbliżoną do grupy Counter Threat Unit (CTU) firmy Secureworks zwanej „Cobalt Illusion”.
Grupa regularnie prowadzi działania inwigilacyjne i szpiegowskie przeciwko osobom uważanym za zagrożenie dla irańskiego rządu – na przykład obiera za cel badaczy dokumentujących prześladowanie kobiet i grup mniejszościowych w zeszłym roku, mówi Rafe Pilling, dyrektor ds. badań zagrożeń w CTU.
„Jakiekolwiek instytucje lub badacze badający tematy o znaczeniu strategicznym lub politycznym dla rządu Iranu lub podległych mu funkcji wywiadowczych mogą być celem” – mówi. „Widzieliśmy dziennikarzy i badaczy akademickich zajmujących się kwestiami politycznymi, politycznymi i bezpieczeństwem Iranu i Bliskiego Wschodu, a także organizacje pozarządowe i pozarządowe działające w Iranie lub w obszarach będących przedmiotem zainteresowania Iranu”.
Nadzwyczajni podszywacze
Grupa często prowadzi zajęcia wymagające dużej ilości zasobów inżynieria społeczna kampanie skierowane przeciwko docelowym grupom lub osobom, podobnie jak rosyjska grupa APT ColdRiver, w tym tygodniu także przedmiotem analizy wywiadu dotyczącego zagrożeń. Przyjmowanie postawy dziennikarzy lub znanych badaczy to typowa taktyka Mint Sandstorm, a ataki na instytucje edukacyjne również cieszą się dużym zainteresowaniem.
Zazwyczaj Mint Sandstorm nawiązuje kontakt z wybraną osobą pod pozorem prośby o rozmowę kwalifikacyjną lub inicjowania rozmowy na określone tematy, ostatecznie manipulując wątkiem wiadomości e-mail do tego stopnia, że można przekonać tę osobę do kliknięcia łącza, mówi Pilling z Secureworks.
Jeśli grupie uda się ukraść dane uwierzytelniające konto e-mail, często wykorzysta je, aby lepiej udawać prawdziwego dziennikarza lub badacza, mówi Pilling.
„W rzeczywistości włamanie się do konta e-mail dziennikarza w celu obrania za cel innych osób jest znacznie mniej powszechne, ale nie niespotykane” – mówi. „Niektóre grupy sponsorowane przez państwo narażają organizacje, z którymi współpracują ich cele, w celu wysyłania ataków phishingowych, którym prawdziwy cel ma większe zaufanie”.
Niestandardowe backdoory do cyberszpiegostwa
Gdy napastnicy nawiążą kontakt ze swoim celem, wysyłają wiadomość e-mail zawierającą łącze do złośliwej domeny, często prowadzące do pliku archiwum RAR, który ich zdaniem zawiera wersję roboczą dokumentu do przeglądu. Wykonując serię kroków, napastnicy ostatecznie upuszczają jeden z dwóch niestandardowych programów backdoora: MediaPI, który udaje Windows Media Player, lub MischiefTut, narzędzie napisane w PowerShell.
„Mint Sandstorm w dalszym ciągu udoskonala i modyfikuje narzędzia używane w środowiskach celów, co może pomóc grupie przetrwać w zaatakowanym środowisku i lepiej unikać wykrycia” – stwierdził Microsoft.
Grupy wspierane przez państwa narodowe i cyberprzestępcy motywowani finansowo często dzielą się tymi samymi technikami, dlatego godnym uwagi jest stosowanie niestandardowych backdoorów, napisała w oświadczeniu Callie Guenther, starsza menedżerka ds. badań nad zagrożeniami cybernetycznymi w firmie Critical Start.
„Rozpowszechnianie się tych taktyk może sygnalizować ogólną eskalację krajobrazu cyberzagrożeń” – stwierdziła. „To, co zaczyna się jako ukierunkowany atak motywowany geopolitycznie, może przekształcić się w bardziej powszechne zagrożenie, wpływające na większą liczbę organizacji i osób”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :ma
- :Jest
- :nie
- 7
- a
- O nas
- akademicki
- Stosownie
- Konto
- Konta
- zajęcia
- działalność
- aktorzy
- faktycznie
- Przyjęcie
- Sprawy
- wpływający
- przed
- Cele
- wyrównać
- dopuszczać
- również
- an
- analiza
- i
- każdy
- APT
- Archiwum
- SĄ
- obszary
- ARM
- AS
- powiązany
- At
- atakować
- Ataki
- tylne drzwi
- Backdoory
- BE
- jest
- Ulepsz Swój
- ale
- by
- Połączenia
- Kampania
- Kampanie
- CAN
- roszczenie
- kliknij
- dokładnie
- Kobalt
- kolekcja
- wspólny
- sukcesy firma
- kompromis
- Zagrożone
- kompromis
- stwierdza,
- prowadzi
- konflikt
- za
- rozważa
- zawiera
- ciągły
- Rozmowa
- przekonany
- mógłby
- Przeciwdziałać
- pokrywa
- Listy uwierzytelniające
- krytyczny
- zwyczaj
- cyberprzestępcy
- dostarczanie
- Wykrywanie
- Dyrektor
- dokument
- domena
- projekt
- Spadek
- wschodni
- edukacyjny
- wychowawcy
- starania
- e-maile
- zobowiązany
- Inżynieria
- Inżynierowie
- Środowisko
- środowiska
- eskalacja
- szpiegostwo
- uchylać się
- ostatecznie
- ewoluuje
- przykład
- eksperci
- filet
- materialnie
- W razie zamówieenia projektu
- często
- od
- Funkcje
- zdobyte
- zbierać
- geopolitycznie
- Rząd
- Zarządzanie
- Grupy
- osłona
- przebranie
- Have
- he
- pomoc
- wysoko
- HTTPS
- zidentyfikować
- Iluzja
- podnieść
- in
- indywidualny
- osób
- Informacja
- instytucje
- Inteligencja
- zamierza
- odsetki
- Wywiad
- najnowszych
- Iran
- irański
- Islamski
- problemy
- IT
- JEGO
- dziennikarz
- Dziennikarze
- jpg
- znany
- krajobraz
- większe
- Nazwisko
- Ostatni rok
- firmy
- prowadzący
- prawowity
- mniej
- lubić
- Prawdopodobnie
- LINK
- powiązany
- złośliwy
- malware
- kierownik
- manipulowanie
- wiele
- dojrzały
- Media
- Microsoft
- Środkowy
- może
- Wojsko
- mniejszość
- mięta
- modyfikować
- jeszcze
- większość
- zmotywowani
- dużo
- NGO
- dostojnik
- numer
- of
- poza
- często
- on
- ONE
- operatorzy
- or
- organizacji
- Inne
- na zewnątrz
- ogólny
- pacjent
- perspektywy
- phishing
- ataki phishingowe
- plato
- Analiza danych Platona
- PlatoDane
- gracz
- punkt
- polityka
- polityczny
- poza
- stwarza
- PowerShell
- specjalistów
- Programy
- szybko
- real
- regularnie
- związane z
- z prośbą
- Badania naukowe
- badacz
- Badacze
- zasobochłonne
- przeglądu
- rewolucyjny
- run
- s
- Powiedział
- mówią
- bezpieczeństwo
- widziany
- wysłać
- senior
- Serie
- Share
- ona
- Signal
- wykwalifikowany
- So
- Obserwuj Nas
- Inżynieria społeczna
- kilka
- wyrafinowany
- Specjaliści
- specyficzny
- rozpiętość
- początek
- stwierdził,
- Zestawienie sprzedaży
- Cel
- Strategiczny
- Badanie
- przedmiot
- tłumienie
- inwigilacja
- systemy
- taktyka
- Zadania
- cel
- ukierunkowane
- kierowania
- cele
- Zespoły
- technicznie
- Techniki
- że
- Połączenia
- ich
- następnie
- Te
- one
- to
- w tym tygodniu
- tych
- groźba
- podmioty grożące
- Przez
- Krawaty
- do
- narzędzie
- tematy
- zaufany
- drugiej
- typowy
- jednostka
- Uniwersytety
- posługiwać się
- używany
- Użytkownicy
- zastosowania
- Ve
- Ofiary
- wojna
- we
- tydzień
- DOBRZE
- Co
- który
- KIM
- którego
- rozpowszechniony
- będzie
- okna
- w
- w ciągu
- Kobieta
- Praca
- by
- napisany
- napisał
- rok
- zefirnet