O grupo Mint Sandstorm, ligado ao Irão, tem como alvo especialistas em assuntos do Médio Oriente em universidades e organizações de investigação com esforços convincentes de engenharia social, que terminam por distribuir malware e comprometer os sistemas das vítimas.
A mais recente campanha de espionagem do grupo Mint Sandstorm, que tem ligações com os militares iranianos, visa roubar informações de jornalistas, investigadores, professores e outros profissionais que cobrem temas de segurança e políticas de interesse para o governo iraniano.
De acordo com o um comunicado da Microsoft divulgado esta semana, o grupo de ciberespionagem usa iscas relacionadas à guerra Israel-Hamas, levando a Microsoft a concluir que o grupo provavelmente pretende coletar informações e perspectivas sobre esse conflito de especialistas em política.
O grupo é bem conhecido pelos seus esforços persistentes e sustentados, afirmou a análise.
“Engenheiros sociais pacientes e altamente qualificados”
Tempestade de areia de menta é Nome da Microsoft para um conjunto de equipas de operações cibernéticas ligadas ao Corpo da Guarda Revolucionária Islâmica (IRGC), um braço de inteligência das forças armadas iranianas.
O grupo se sobrepõe a atores de ameaças conhecidos como APT35 pela Mandiant do Google e Gatinho encantador por Crowdstrike; a última campanha de espionagem é provavelmente dirigida por um “subgrupo técnica e operacionalmente maduro da Mint Sandstorm”, disse a empresa.
“Os operadores associados a este subgrupo do Mint Sandstorm são engenheiros sociais pacientes e altamente qualificados, cuja habilidade comercial carece de muitas das características que permitem aos usuários identificar rapidamente e-mails de phishing”, afirmou a Microsoft Threat Intelligence na análise. “Em alguns casos desta campanha, este subgrupo também usou contas legítimas, mas comprometidas, para enviar iscas de phishing.”
O grupo é bem conhecido por campanhas sofisticadas de engenharia social, de acordo com a Secureworks, que considera o Mint Sandstorm da Microsoft o mais alinhado com o grupo que a Unidade de Contra-Ameaças (CTU) da Secureworks chama de “Ilusão de Cobalto”.
O grupo realiza regularmente atividades de vigilância e espionagem contra aqueles que são considerados uma ameaça ao governo iraniano – por exemplo, visando investigadores que documentaram a repressão de mulheres e grupos minoritários no ano passado, diz Rafe Pilling, diretor de investigação de ameaças da CTU.
“Quaisquer instituições ou investigadores que estudem temas de interesse estratégico ou político para o governo do Irão ou para as suas funções de inteligência subordinadas podem ser um alvo”, diz ele. “Temos visto jornalistas e investigadores académicos que cobrem questões políticas, políticas e de segurança iranianas e do Médio Oriente serem alvo de ataques, bem como IGOs e ONGs que trabalham no Irão ou em áreas de interesse para o Irão.”
Imitadores Extraordinários
O grupo frequentemente realiza pesquisas com uso intensivo de recursos engenharia social campanhas contra grupos ou indivíduos-alvo, bem como o Grupo russo APT ColdRiver, também objeto de análise de inteligência de ameaças esta semana. Adotar a aparência de jornalistas ou pesquisadores conhecidos é uma tática típica do Mint Sandstorm, e visar instituições educacionais também decolou.
Normalmente, o Mint Sandstorm se envolverá com o indivíduo alvo sob o pretexto de solicitar uma entrevista ou iniciar uma conversa sobre tópicos específicos, eventualmente manipulando o tópico de e-mail a ponto de o indivíduo ser convencido a clicar em um link, diz Pilling da Secureworks.
Se o grupo conseguir roubar credenciais de uma conta de e-mail, muitas vezes usará isso para se passar por jornalista ou pesquisador legítimo, diz Pilling.
“Na verdade, comprometer a conta de e-mail de um jornalista para depois atingir outros indivíduos é muito menos comum, mas não é inédito”, diz ele. “Alguns grupos patrocinados pelo Estado comprometerão as organizações com as quais seus alvos trabalham para enviar ataques de phishing nos quais seu alvo real terá maior probabilidade de confiar.”
Backdoors personalizados para espionagem cibernética
Depois que os invasores conseguem se comunicar com seu alvo, eles enviam um e-mail contendo um link para um domínio malicioso, geralmente levando a um arquivo RAR que, segundo eles, contém um rascunho de documento para revisão. Através de uma série de etapas, os invasores acabariam eliminando um dos dois programas backdoor personalizados: MediaPI, que se apresenta como Windows Media Player, ou MischiefTut, uma ferramenta escrita em PowerShell.
“O Mint Sandstorm continua a melhorar e modificar as ferramentas usadas nos ambientes dos alvos, atividade que pode ajudar o grupo a persistir em um ambiente comprometido e evitar melhor a detecção”, afirmou a Microsoft.
Grupos apoiados por estados-nação e cibercriminosos com motivação financeira muitas vezes compartilham técnicas, de modo que o uso de backdoor personalizado é notável, escreveu Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start, em um comunicado.
“A disseminação dessas táticas pode sinalizar uma escalada geral no cenário de ameaças cibernéticas”, disse ela. “O que começa como um ataque direcionado e com motivação geopolítica pode evoluir para uma ameaça mais generalizada, afetando um maior número de organizações e indivíduos.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :tem
- :é
- :não
- 7
- a
- Sobre
- acadêmico
- Segundo
- Conta
- Contas
- atividades
- atividade
- atores
- Adotando
- Negócios
- afetando
- contra
- visa
- alinhar
- permitir
- tb
- an
- análise
- e
- qualquer
- APT
- arquivo
- SOMOS
- áreas
- ARM
- AS
- associado
- At
- ataque
- Ataques
- Porta dos fundos
- Backdoors
- BE
- ser
- Melhor
- mas a
- by
- chamadas
- Campanha
- Campanhas
- CAN
- reivindicar
- clique
- de perto
- Cobalto
- coleção
- comum
- Empresa
- compromisso
- Comprometido
- comprometendo
- conclui
- conduz
- conflito
- considerado
- considera
- contém
- continua
- Conversa
- convencido
- poderia
- Contador
- cobrir
- Credenciais
- crítico
- personalizadas
- cibercriminosos
- entregando
- Detecção
- Diretor
- documento
- domínio
- rascunho
- Cair
- oriental
- educacional
- educadores
- esforços
- e-mails
- engajar
- Engenharia
- Engenheiros
- Meio Ambiente
- ambientes
- escalada
- espionagem
- escapar
- eventualmente
- evolui
- exemplo
- especialistas
- Envie o
- financeiramente
- Escolha
- freqüentemente
- da
- funções
- ganhou
- reunir
- geopoliticamente
- Governo
- Grupo
- Do grupo
- Guarda
- aparência
- Ter
- he
- ajudar
- altamente
- HTTPS
- identificar
- Ilusão
- melhorar
- in
- Individual
- indivíduos
- INFORMAÇÕES
- instituições
- Inteligência
- pretende
- interesse
- Entrevista
- para dentro
- Irão
- iraniano
- Islâmico
- questões
- IT
- ESTÁ
- jornalista
- Jornalistas
- jpg
- conhecido
- paisagem
- Maior
- Sobrenome
- Ano passado
- mais recente
- principal
- legítimo
- menos
- como
- Provável
- LINK
- ligado
- malicioso
- malwares
- Gerente
- manipulando
- muitos
- maduro
- Mídia
- Microsoft
- Coração
- poder
- Militar
- minoria
- hortelã
- modificar
- mais
- a maioria
- motivados
- muito
- ONGs
- notável
- número
- of
- WOW!
- frequentemente
- on
- ONE
- operadores
- or
- organizações
- Outros
- Fora
- global
- paciente
- perspectivas
- Phishing
- ataques de phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- jogador
- ponto
- Privacidade
- político
- pose
- coloca
- PowerShell
- Programas
- rapidamente
- reais
- regularmente
- relacionado
- solicitando
- pesquisa
- investigador
- pesquisadores
- uso intensivo de recursos
- rever
- revolucionário
- Execute
- s
- Dito
- diz
- segurança
- visto
- enviar
- senior
- Série
- Partilhar
- ela
- Signal
- hábil
- So
- Redes Sociais
- Engenharia social
- alguns
- sofisticado
- especialistas
- específico
- propagação
- começo
- estabelecido
- Declaração
- Passos
- Estratégico
- Estudo
- sujeito
- supressão
- vigilância
- sistemas
- tática
- tomado
- Target
- visadas
- alvejando
- tem como alvo
- equipes
- tecnicamente
- técnicas
- que
- A
- deles
- então
- Este
- deles
- isto
- esta semana
- aqueles
- ameaça
- atores de ameaças
- Através da
- Algemas
- para
- ferramenta
- Temas
- confiável
- dois
- típico
- unidade
- Universidades
- usar
- usava
- usuários
- usos
- Ve
- vítimas
- guerra
- we
- semana
- BEM
- O Quê
- qual
- QUEM
- de quem
- generalizada
- precisarão
- Windows
- de
- dentro
- Mulher
- Atividades:
- seria
- escrito
- escreveu
- ano
- zefirnet