Связанная с Ираном группа Mint Sandstorm нацелена на специалистов по Ближнему Востоку в университетах и исследовательских организациях, проводя убедительные усилия в области социальной инженерии, которые заканчиваются распространением вредоносного ПО и компрометацией систем жертв.
Последняя шпионская кампания группы Mint Sandstorm, связанной с иранскими военными, направлена на кражу информации у журналистов, исследователей, профессоров и других специалистов, освещающих темы безопасности и политики, представляющие интерес для иранского правительства.
По рекомендация Microsoft На этой неделе группа кибершпионажа использует приманки, связанные с войной между Израилем и Хамасом, что привело Microsoft к выводу, что группа, вероятно, намеревается собрать информацию и мнения по этому конфликту от политических экспертов.
Группа хорошо известна своими настойчивыми и последовательными усилиями, говорится в анализе.
«Терпеливые и высококвалифицированные социальные инженеры»
Мятная песчаная буря это Имя Microsoft для группы групп киберопераций, связанных с Корпусом стражей исламской революции (КСИР), разведывательным подразделением иранских вооруженных сил.
Группа пересекается с субъектами угроз, известными как APT35 от Google Mandiant и Очаровательный котенок от Crowdstrike; Последняя шпионская кампания, скорее всего, проводится «технически и оперативно зрелой подгруппой Mint Sandstorm», заявили в компании.
«Операторы, связанные с этой подгруппой Mint Sandstorm, — это терпеливые и высококвалифицированные социальные инженеры, чьей профессии не хватает многих отличительных черт, позволяющих пользователям быстро выявлять фишинговые электронные письма», — говорится в анализе Microsoft Threat Intelligence. «В некоторых случаях этой кампании эта подгруппа также использовала законные, но скомпрометированные учетные записи для рассылки фишинговых приманок».
По данным Secureworks, группа хорошо известна своими сложными кампаниями социальной инженерии, которые считают, что Mint Sandstorm от Microsoft наиболее тесно связана с группой Counter Threat Unit (CTU), которую Secureworks называет «Cobalt Illusion».
Группа регулярно проводит слежку и шпионаж против тех, кто считается угрозой для иранского правительства.
«Любые учреждения или исследователи, которые изучают темы, представляющие стратегический или политический интерес для правительства Ирана или подчиненных ему разведывательных функций, могут стать мишенью», — говорит он. «Мы видели, как мишенью становятся журналисты и ученые-исследователи, освещающие политические вопросы, политику и безопасность Ирана и Ближнего Востока, а также МПО и НПО, которые работают внутри Ирана или в областях, представляющих интерес для Ирана».
Выдающиеся подражатели
Группа часто проводит ресурсоемкие социальная инженерия кампании против целевых групп или отдельных лиц, во многом подобные Российская APT-группа ColdRiver, также является предметом анализа разведывательной информации об угрозах на этой неделе. Типичная тактика «Мятной песчаной бури» — перенимание имиджа журналистов или известных исследователей, также стали набирать обороты и нападения на образовательные учреждения.
Как правило, Mint Sandstorm взаимодействует с целевым человеком под видом запроса на интервью или начала разговора на определенные темы, в конечном итоге манипулируя веткой электронной почты до такой степени, что человека можно убедить щелкнуть ссылку, говорит Пиллинг из Secureworks.
Если группировке удастся украсть учетные данные учетной записи электронной почты, она часто будет использовать их, чтобы лучше выдавать себя за законного журналиста или исследователя, говорит Пиллинг.
«На самом деле компрометация учетной записи электронной почты журналиста с целью последующей атаки на других людей встречается гораздо реже, но не является чем-то необычным», — говорит он. «Некоторые спонсируемые государством группы будут компрометировать организации, с которыми работают их цели, для проведения фишинговых атак, которым их реальная цель с большей вероятностью будет доверять».
Пользовательские бэкдоры для кибершпионажа
Как только злоумышленники установили контакт со своей целью, они отправляют электронное письмо, содержащее ссылку на вредоносный домен, что часто приводит к архивному файлу RAR, который, как они утверждают, содержит черновой вариант документа для проверки. Выполнив ряд шагов, злоумышленникам в конечном итоге удалось удалить одну из двух специальных бэкдор-программ: MediaPI, выдающую себя за проигрыватель Windows Media, или MischiefTut, инструмент, написанный на PowerShell.
«Mint Sandstorm продолжает совершенствовать и модифицировать инструменты, используемые в средах целей, и эта деятельность может помочь группе выжить в скомпрометированной среде и лучше избежать обнаружения», — заявили в Microsoft.
Группы, поддерживаемые государством, и финансово мотивированные киберпреступники часто используют общие методы, поэтому использование специального бэкдора является примечательным явлением, пишет в своем заявлении Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start.
«Распространение этой тактики может сигнализировать об общей эскалации ситуации с киберугрозами», — сказала она. «То, что начинается как целенаправленная геополитически мотивированная атака, может перерасти в более масштабную угрозу, затрагивающую большее количество организаций и отдельных лиц».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :имеет
- :является
- :нет
- 7
- a
- О нас
- академический
- По
- Учетная запись
- Учетные записи
- активно
- деятельность
- актеры
- на самом деле
- Принятие
- Дела
- затрагивающий
- против
- Цель
- выравнивать
- позволять
- причислены
- an
- анализ
- и
- любой
- APT
- архив
- МЫ
- области
- ARM
- AS
- связанный
- At
- атаковать
- нападки
- задняя дверь
- Черные ходы
- BE
- не являетесь
- Лучшая
- но
- by
- Объявления
- Кампания
- Кампании
- CAN
- утверждать
- нажмите на
- тесно
- Кобальт
- лыжных шлемов
- Общий
- Компания
- скомпрометированы
- Ослабленный
- компромат
- вывод
- дирижирует
- конфликт
- считается
- считает
- содержит
- продолжается
- Разговор
- убежден,
- может
- счетчик
- чехол для варгана
- Полномочия
- критической
- изготовленный на заказ
- киберпреступники
- доставки
- обнаружение
- директор
- документ
- домен
- проект
- Падение
- восточный
- образовательных
- педагогов
- усилия
- Писем
- заниматься
- Проект и
- Инженеры
- Окружающая среда
- средах
- эскалация
- шпионаж
- Evade
- со временем
- развивается
- пример
- эксперты
- Файл
- в финансовом отношении
- Что касается
- часто
- от
- Функции
- получила
- собирать
- геополитически
- Правительство
- группы
- Группы
- Охрана
- личина
- Есть
- he
- помощь
- очень
- HTTPS
- определения
- Иллюзия
- улучшать
- in
- individual
- лиц
- информация
- учреждения
- Интеллекта
- намерен
- интерес
- Интервью
- в
- включая Иран
- иранец
- Исламский
- вопросы
- IT
- ЕГО
- журналист
- Журналисты
- JPG
- известный
- пейзаж
- больше
- Фамилия
- В прошлом году
- последний
- ведущий
- законный
- Меньше
- такое как
- Вероятно
- LINK
- связанный
- злонамеренный
- вредоносных программ
- менеджер
- манипуляционная
- многих
- зрелый
- Медиа
- Microsoft
- средняя
- может быть
- военный
- меньшинство
- мята
- изменять
- БОЛЕЕ
- самых
- мотивированные
- много
- НПО
- примечательный
- номер
- of
- от
- .
- on
- ONE
- Операторы
- or
- организации
- Другое
- внешний
- общий
- пациент
- перспективы
- фишинг
- фишинговые атаки
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игрок
- Точка
- политика
- политический
- поза
- представляет
- PowerShell
- профессионалы
- Программы
- быстро
- реальные
- регулярно
- Связанный
- запрашивающий
- исследованиям
- исследователь
- исследователи
- ресурсоемкий
- обзоре
- революционный
- Run
- s
- Сказал
- говорит
- безопасность
- видел
- Отправить
- старший
- Серии
- Поделиться
- она
- сигнал
- квалифицированный
- So
- Соцсети
- Социальная инженерия
- некоторые
- сложный
- специалисты
- конкретный
- распространение
- Начало
- заявил
- заявление
- Шаги
- Стратегический
- Кабинет
- предмет
- подавление
- наблюдение
- системы
- тактика
- приняты
- цель
- целевое
- направлены
- направлена против
- команды
- технически
- снижения вреда
- который
- Ассоциация
- их
- тогда
- Эти
- они
- этой
- На этой неделе
- те
- угроза
- актеры угрозы
- Через
- Галстуки
- в
- инструментом
- Темы
- надежных
- два
- типичный
- Ед. изм
- Университеты
- использование
- используемый
- пользователей
- использования
- Ve
- жертвы
- войны
- we
- неделя
- ЧТО Ж
- Что
- который
- КТО
- чья
- широко распространена
- будете
- окна
- в
- Женщина
- Работа
- бы
- письменный
- писал
- год
- зефирнет