Den Iran-kopplade Mint Sandstorm-gruppen riktar sig till specialister på Mellanösternfrågor vid universitet och forskningsorganisationer med övertygande social ingenjörskonst, som avslutas med att leverera skadlig programvara och äventyra offrens system.
Den senaste spionagekampanjen av Mint Sandstorm-gruppen, som har kopplingar till den iranska militären, syftar till att stjäla information från journalister, forskare, professorer och andra yrkesverksamma som täcker säkerhets- och policyfrågor av intresse för den iranska regeringen.
Enligt en Microsoft-rådgivning denna vecka använder cyberspionagegruppen drag relaterade till Israel-Hamas-kriget, vilket leder till att Microsoft drar slutsatsen att gruppen sannolikt har för avsikt att samla in underrättelser om och perspektiv om den konflikten från policyexperter.
Gruppen är välkänd för sina ihärdiga och uthålliga ansträngningar, konstaterade analysen.
"Tålamodiga och mycket skickliga socialingenjörer"
Mint Sandstorm är Microsofts namn för en samling cyberoperationsteam kopplade till Islamic Revolutionary Guard Corps (IRGC), en underrättelsegren inom Irans militär.
Gruppen överlappar med hotaktörer kända som APT35 av Googles Mandiant och Charmig kattunge av Crowdstrike; den senaste spionagekampanjen drivs sannolikt av en "tekniskt och operativt mogen undergrupp av Mint Sandstorm", sa företaget.
"Operatorer som är associerade med denna undergrupp av Mint Sandstorm är tålmodiga och mycket skickliga sociala ingenjörer vars hantverk saknar många av de kännetecken som gör att användare snabbt kan identifiera nätfiske-e-postmeddelanden", konstaterade Microsoft Threat Intelligence i analysen. "I vissa fall av den här kampanjen använde den här undergruppen också legitima men äventyrade konton för att skicka nätfiskedrag."
Gruppen är välkänd för sofistikerade sociala ingenjörskampanjer, enligt Secureworks, som anser att Microsofts Mint Sandstorm ligger närmast i linje med gruppen Secureworks Counter Threat Unit (CTU) kallar "Cobalt Illusion."
Gruppen bedriver regelbundet övervaknings- och spionageaktiviteter mot dem som anses utgöra ett hot mot den iranska regeringen – till exempel riktar sig till forskare som dokumenterade förtrycket av kvinnor och minoritetsgrupper förra året, säger Rafe Pilling, chef för hotforskning för CTU.
"Alla institutioner eller forskare som studerar ämnen av strategiskt eller politiskt intresse för Irans regering eller deras underordnade underrättelsefunktioner kan vara ett mål", säger han. "Vi har sett journalister och akademiska forskare som täcker iranska och Mellanösterns politiska, policy- och säkerhetsfrågor riktas mot såväl IGO:er och icke-statliga organisationer som arbetar inom Iran eller i områden av intresse för Iran."
Imitatorer Extraordinaire
Koncernen bedriver ofta resurskrävande verksamhet socialteknik kampanjer mot riktade grupper eller individer, ungefär som Ryska APT-gruppen ColdRiver, också föremål för hotunderrättelseanalys denna vecka. Att ta till sig journalisters eller kända forskares syn är en typisk taktik för Mint Sandstorm, och inriktning på utbildningsinstitutioner har också tagit fart.
Vanligtvis kommer Mint Sandstorm att engagera sig med den riktade individen i skepnad av att begära en intervju eller initiera en konversation om specifika ämnen, och så småningom manipulera e-posttråden till den grad att individen kan övertygas om att klicka på en länk, säger Secureworks' Pilling.
Om gruppen kan stjäla referenser för ett e-postkonto kommer den ofta att använda det för att bättre posera som en legitim journalist eller forskare, säger Pilling.
"Att äventyra en journalists e-postkonto för att sedan rikta in sig på andra individer är mycket mindre vanligt men inte ovanligt," säger han. "Vissa statligt sponsrade grupper kommer att kompromissa med organisationer som deras mål samarbetar med för att skicka nätfiskeattacker som sannolikt är mer betrodda av deras verkliga mål."
Anpassade bakdörrar för cyberspionage
När angriparna väl har fått kontakt med sitt mål skickar de ett e-postmeddelande som innehåller en länk till en skadlig domän, vilket ofta leder till en RAR-arkivfil som de hävdar innehåller ett utkast till dokument för granskning. Genom en serie steg skulle angriparna så småningom släppa ett av två anpassade bakdörrsprogram: MediaPI, som poserar som Windows Media Player, eller MischiefTut, ett verktyg skrivet i PowerShell.
"Mint Sandstorm fortsätter att förbättra och modifiera verktygen som används i målmiljöer, aktivitet som kan hjälpa gruppen att fortsätta i en komprometterad miljö och bättre undvika upptäckt," sa Microsoft.
Nationsstatsstödda grupper och ekonomiskt motiverade cyberbrottslingar delar ofta tekniker, så användningen av anpassad bakdörr är en anmärkningsvärd, skrev Callie Guenther, senior chef för cyberhotsforskning vid Critical Start, i ett uttalande.
"Utbredningen av denna taktik kan signalera en övergripande upptrappning av cyberhotslandskapet," sa hon. "Det som börjar som en riktad, geopolitiskt motiverad attack kan utvecklas till ett mer utbrett hot som påverkar ett större antal organisationer och individer."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- : har
- :är
- :inte
- 7
- a
- Om oss
- akademiska
- Enligt
- Konto
- konton
- aktiviteter
- aktivitet
- aktörer
- faktiskt
- Anta
- Affairs
- påverkar
- mot
- Syftet
- rikta
- tillåter
- också
- an
- analys
- och
- vilken som helst
- APT
- arkiv
- ÄR
- områden
- ARM
- AS
- associerad
- At
- attackera
- Attacker
- bakdörr
- Bakdörrar
- BE
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- men
- by
- Samtal
- Kampanj
- Kampanjer
- KAN
- patentkrav
- klick
- nära
- Kobolt
- samling
- Gemensam
- företag
- kompromiss
- Äventyras
- komprometterande
- avslutar
- beteenden
- konflikt
- anses
- anser
- innehåller
- fortsätter
- Konversation
- övertygad
- kunde
- Motverka
- täcka
- referenser
- kritisk
- beställnings
- nätbrottslingar
- leverera
- Detektering
- Direktör
- dokumentera
- domän
- utkast
- Drop
- östra
- pedagogiska
- lärare
- ansträngningar
- e
- engagera
- Teknik
- Ingenjörer
- Miljö
- miljöer
- eskalering
- spionage
- undgå
- så småningom
- utvecklas
- exempel
- experter
- Fil
- ekonomiskt
- För
- ofta
- från
- funktioner
- vunnits
- samla
- geopolitiskt
- Regeringen
- Grupp
- Gruppens
- Guard
- sätt
- Har
- he
- hjälpa
- höggradigt
- HTTPS
- identifiera
- Illusion
- förbättra
- in
- individuellt
- individer
- informationen
- institutioner
- Intelligens
- avser
- intresse
- Intervju
- in
- Iran
- iranier
- islamisk
- problem
- IT
- DESS
- journalist
- journalister
- jpg
- känd
- liggande
- större
- Efternamn
- Förra året
- senaste
- ledande
- legitim
- mindre
- tycka om
- sannolikt
- LINK
- kopplade
- skadlig
- malware
- chef
- manipulerings
- många
- mogen
- Media
- Microsoft
- Mitten
- kanske
- Militär
- minoritet
- mint
- modifiera
- mer
- mest
- motiverad
- mycket
- Frivilligorganisationer
- anmärkningsvärd
- antal
- of
- sänkt
- Ofta
- on
- ONE
- operatörer
- or
- organisationer
- Övriga
- ut
- övergripande
- Patienten
- perspektiv
- Nätfiske
- phishingattacker
- plato
- Platon Data Intelligence
- PlatonData
- Spelaren
- Punkt
- policy
- politiska
- utgör
- utgör
- Power
- yrkesmän/kvinnor
- Program
- snabbt
- verklig
- regelbundet
- relaterad
- begärande
- forskning
- forskaren
- forskare
- Resursintensiv
- översyn
- revolutionerande
- Körning
- s
- Nämnda
- säger
- säkerhet
- sett
- sända
- senior
- Serier
- Dela
- hon
- Signal
- skicklig
- So
- Social hållbarhet
- Samhällsteknik
- några
- sofistikerade
- specialister
- specifik
- spridning
- starta
- anges
- .
- Steg
- Strategisk
- Läsa på
- ämne
- undertryckande
- övervakning
- System
- taktik
- tagen
- Målet
- riktade
- targeting
- mål
- lag
- tekniskt
- tekniker
- den där
- Smakämnen
- deras
- sedan
- Dessa
- de
- detta
- denna vecka
- de
- hot
- hotaktörer
- Genom
- Slipsar
- till
- verktyg
- ämnen
- betrodd
- två
- typisk
- enhet
- Universitet
- användning
- Begagnade
- användare
- användningar
- Ve
- offer
- kriget
- we
- vecka
- VÄL
- Vad
- som
- VEM
- vars
- utbredd
- kommer
- fönster
- med
- inom
- Kvinnor
- Arbete
- skulle
- skriven
- skrev
- år
- zephyrnet