Иранская группа угроз Mint Sandstorm нацелена на высокопоставленных исследователей Ближнего Востока

Было замечено, что злоумышленник Mint Sandstorm, предположительно связанный с Ираном, использовал специальные фишинговые приманки для атак на высокопоставленные цели, одновременно используя новый специальный бэкдор под названием MediaPI.

В сообщении в блоге от 17 января: Анализ угроз Майкрософт заявили, что нападения были совершены на лиц, занимающихся вопросами Ближнего Востока на высоком уровне в университетах и ​​исследовательских организациях Бельгии, Франции, сектора Газа, Израиля, Великобритании и США.

Исследователи Microsoft заявили, что Mint Sandstorm, также известный как APT35 и APT42, использовал законные, но скомпрометированные учетные записи для рассылки фишинговых приманок. Исследователи заявили, что Mint Sandstorm продолжает совершенствовать и модифицировать инструменты, используемые в средах целей, и эта деятельность может помочь группе выжить в скомпрометированной среде и лучше избежать обнаружения.

«Исходя из особенностей целей, наблюдаемых в этой кампании, и использования приманок, связанных с войной между Израилем и ХАМАСом, возможно, что эта кампания является попыткой собрать точки зрения на события, связанные с войной, от людей любого идеологического спектра», — написали они. исследователи.

Mint Sandstorm действует как спонсируемая государством организация из Ирана и, как следствие, служит правительственным учреждениям и потенциальным военным целям, пояснил Балаж Грекша, руководитель отдела реагирования на угрозы в Ontinue. Грекса сказал, что группа использует такие тактики, как атаки на водопои и фишинговые электронные письма, чтобы атаковать правительства, неправительственные организации, частные организации и научные круги с целью шпионажа. Они часто выдают себя за журналистов, государственных чиновников или ученых в социальных сетях, и их основная цель — заполучить конфиденциальную информацию.

«У таких субъектов, как APT35, основные цели связаны с геополитикой, национальной безопасностью и контрразведкой», — сказал Грексза. «Как открыто заявляли различные спецслужбы в прошлом, цели разведки могут быстро меняться в зависимости от потребностей национальных интересов, нынешнего политического и военного руководства, а также их решений и потребностей в разведке».

Нгок Буи, эксперт по кибербезопасности в Menlo Security, добавил, что развертывание специального бэкдора MediaPI наряду с использованием других инструментов, таких как MischiefTut, указывает на сдвиг в оперативной тактике Mint Sandstorm, отмечая эволюцию их возможностей кибершпионажа.

Буй выделил четыре потенциальные опасности, исходящие от служб безопасности Mint Sandstorm, на которые следует обратить внимание:

Межсекторальное проникновение

Хотя в настоящее время основное внимание уделяется университетам и исследовательским организациям, специализирующимся на проблемах Ближнего Востока, адаптивность и развитость таких групп могут позволить им переключиться на другие сектора. Это может включать критически важную инфраструктуру, правительственные учреждения или корпорации, особенно если их интересы совпадают с геополитическими целями государства-спонсора.

Кража интеллектуальной собственности и шпионаж

Нападения на исследовательские учреждения вызывают серьезные опасения по поводу кражи интеллектуальной собственности и шпионажа. Это может привести к потере конкурентных преимуществ стран и организаций, а в некоторых случаях может поставить под угрозу национальную безопасность.

Эрозия доверия в цифровых коммуникациях

Применяемая тактика, такая как использование скомпрометированных законных учетных записей и установление доверия посредством первоначальных незлонамеренных сообщений, способствует более широкому подрыву доверия к цифровым коммуникациям. Это может иметь далеко идущие последствия для подхода организаций к цифровой безопасности и связи.

Расширение киберконфликта

Участие группировки, поддерживаемой государством, в таких кампаниях потенциально может перерасти в более масштабные киберконфликты, особенно если целевые организации представляют значительный геополитический интерес.

«Что касается мотивации Mint Sandstorm, то хотя финансовая выгода является общей движущей силой многих кибератак, характер и цели этой кампании предполагают основной интерес к шпионажу и сбору разведданных, что, вероятно, соответствует геополитическим интересам Ирана», — сказал Буй. «Акцент на высокопоставленных личностях и конкретных областях исследований указывает на стратегический подход, больше ориентированный на сбор разведданных и оказание влияния, а не на прямую финансовую эксплуатацию».