与伊朗有联系的 Mint Sandstorm 组织正在针对大学和研究组织的中东事务专家进行令人信服的社会工程工作,最终通过传播恶意软件并损害受害者的系统。
与伊朗军方有联系的 Mint Sandstorm 组织最新的间谍活动旨在从记者、研究人员、教授和其他涉及伊朗政府感兴趣的安全和政策话题的专业人士那里窃取信息。
根据 微软咨询 本周,该网络间谍组织使用与以色列-哈马斯战争相关的诱饵,导致微软得出结论,该组织可能打算从政策专家那里收集有关这场冲突的情报和观点。
分析称,该组织以其坚持不懈的努力而闻名。
“耐心且技术精湛的社会工程师”
薄荷沙尘暴是 微软的名字 与伊朗军方情报部门伊斯兰革命卫队(IRGC)有联系的一组网络行动团队。
该组织与威胁行为者重叠 APT35 由 Google 的 Mandiant 和 迷人的小猫 通过 Crowdstrike;该公司表示,最新的间谍活动可能是由“技术和操作成熟的 Mint Sandstorm 子组织”进行的。
微软威胁情报在分析中表示:“与 Mint Sandstorm 子组织相关的操作者都是耐心且技术精湛的社会工程师,他们的技术缺乏许多允许用户快速识别网络钓鱼电子邮件的特征。” “在此次活动的某些情况下,该小组还使用合法但受到威胁的帐户来发送网络钓鱼诱饵。”
据 Secureworks 称,该组织以复杂的社会工程活动而闻名,该组织认为微软的 Mint Sandstorm 与 Secureworks 的反威胁单位 (CTU) 称为“Cobalt Illusion”的组织最接近。
CTU 威胁研究主任拉夫·皮林 (Rafe Pilling) 表示,该组织定期对那些被认为对伊朗政府构成威胁的人进行监视和间谍活动,例如,针对记录去年镇压妇女和少数民族群体的研究人员。
“任何研究伊朗政府或其下属情报部门战略或政治利益主题的机构或研究人员都可能成为目标,”他说。 “我们看到报道伊朗和中东政治、政策和安全问题的记者和学术研究人员以及在伊朗境内或伊朗感兴趣的领域工作的政府间组织和非政府组织成为攻击目标。”
非凡的模仿者
该小组经常进行资源密集型的活动 社会工程学 针对目标群体或个人的运动,很像 俄罗斯APT组织ColdRiver, 也是本周威胁情报分析的主题。采用记者或知名研究人员的风格是 Mint Sandstorm 的典型策略,针对教育机构的攻击也开始兴起。
Secureworks 的 Pilling 表示,通常情况下,Mint Sandstorm 会以请求采访或发起有关特定主题的对话为幌子与目标个人进行接触,最终操纵电子邮件线程,以说服该个人点击链接。
皮林说,如果该组织可以窃取电子邮件帐户的凭据,它通常会利用它来更好地伪装成合法的记者或研究人员。
“实际上,破坏记者的电子邮件帐户然后针对其他人的情况并不常见,但并非闻所未闻,”他说。 “一些国家支持的组织会损害与目标合作的组织,以发送更有可能受到其真正目标信任的网络钓鱼攻击。”
网络间谍活动的定制后门
一旦攻击者与目标建立了融洽关系,他们就会发送一封包含恶意域链接的电子邮件,通常会生成一个 RAR 存档文件,他们声称该文件包含供审阅的草稿文档。通过一系列步骤,攻击者最终会删除两个自定义后门程序之一:MediaPI(伪装成 Windows Media Player)或 MischiefTut(一种用 PowerShell 编写的工具)。
微软表示:“Mint Sandstorm 继续改进和修改目标环境中使用的工具,这些活动可能有助于该组织在受感染的环境中持续存在并更好地逃避检测。”
Critical Start 网络威胁研究高级经理 Callie Guenther 在一份声明中写道,国家支持的团体和出于经济动机的网络犯罪分子经常共享技术,因此自定义后门的使用值得注意。
“这些策略的传播可能标志着网络威胁形势的全面升级,”她说。 “一开始是有针对性的、出于地缘政治动机的攻击可能会演变成更广泛的威胁,影响更多的组织和个人。”
- :具有
- :是
- :不是
- 7
- a
- 关于
- 学者
- 根据
- 账号管理
- 账户
- 活动
- 活动
- 演员
- 通
- 采用
- 事务
- 影响
- 驳
- 目标
- 对齐
- 让
- 还
- an
- 分析
- 和
- 任何
- APT
- 档案
- 保健
- 地区
- ARM
- AS
- 相关
- At
- 攻击
- 攻击
- 后门
- 后门程序
- BE
- 作为
- 更好
- 但是
- by
- 呼叫
- 营销活动
- 活动
- CAN
- 要求
- 点击
- 密切
- 钴
- 采集
- 相当常见
- 公司
- 妥协
- 妥协
- 折中
- 总结
- 行为
- 冲突
- 考虑
- 考虑
- 包含
- 继续
- 谈话
- 确信
- 可以
- Counter
- 外壳
- 资历
- 危急
- 习俗
- 网络罪犯
- 交付
- 检测
- 副总经理
- 文件
- 域
- 草案
- 下降
- 东
- 教育的
- 教育工作者
- 工作的影响。
- 邮箱地址
- 电子邮件
- 从事
- 工程师
- 工程师
- 环境
- 环境中
- 升级
- 间谍
- 逃脱
- 终于
- 发展
- 例子
- 专家
- 文件
- 经济
- 针对
- 频繁
- 止
- 功能
- 获得
- 收集
- 地缘政治
- 谷歌
- 政府
- 团队
- 组的
- 守卫
- 伪装
- 有
- he
- 帮助
- 高度
- HTTPS
- 鉴定
- 错觉
- 改善
- in
- 个人
- 个人
- 信息
- 机构
- 房源搜索
- 拟
- 兴趣
- 专属采访
- 成
- 伊朗
- 伊朗的
- 伊斯兰
- 问题
- IT
- 它的
- 记者
- 记者
- JPG
- 已知
- 景观
- 大
- 名:
- 去年
- 最新
- 领导
- 合法
- 减
- 喜欢
- 容易
- 友情链接
- 链接
- 恶意
- 恶意软件
- 经理
- 操纵
- 许多
- 成熟
- 媒体
- 微软
- 中间
- 可能
- 军工
- 少数
- 薄荷
- 修改
- 更多
- 最先进的
- 动机
- 许多
- 非政府组织
- 显着
- 数
- of
- 折扣
- 经常
- on
- 一
- 运营商
- or
- 组织
- 其他名称
- 输出
- 最划算
- 病人
- 观点
- 钓鱼
- 网络钓鱼攻击
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放机
- 点
- 政策
- 政治
- 提出
- 构成
- PowerShell的
- 专业人士
- 训练课程
- 很快
- 真实
- 经常
- 有关
- 请求
- 研究
- 研究员
- 研究人员
- 资源密集型
- 检讨
- 革命的
- 运行
- s
- 说
- 说
- 保安
- 看到
- 提交
- 前辈
- 系列
- Share
- 她
- 信号
- 技能的
- So
- 社会
- 社会工程学
- 一些
- 极致
- 专家
- 具体的
- 传播
- 开始
- 说
- 个人陈述
- 步骤
- 善用
- 学习
- 主题
- 抑制
- 监控
- 产品
- 策略
- 拍摄
- 目标
- 针对
- 瞄准
- 目标
- 队
- 技术上
- 技术
- 这
- 其
- 然后
- 博曼
- 他们
- Free Introduction
- 本星期
- 那些
- 威胁
- 威胁者
- 通过
- 领带
- 至
- 工具
- Topics
- 信任
- 二
- 普遍
- 单元
- 大学合作伙伴
- 使用
- 用过的
- 用户
- 使用
- Ve
- 受害者
- 战争
- we
- 周
- 井
- 什么是
- 这
- WHO
- 谁的
- 广泛
- 将
- 窗户
- 中
- 女性
- 工作
- 将
- 书面
- 写
- 年
- 和风网