Indivíduos de alto perfil que trabalham em assuntos do Oriente Médio em universidades e organizações de pesquisa na Bélgica, França, Gaza, Israel, Reino Unido e EUA têm sido alvo de um grupo iraniano de espionagem cibernética chamado Mint Sandstorm desde novembro de 2023.
O ator de ameaça "usou iscas de phishing personalizadas na tentativa de enganar socialmente os alvos para que baixassem arquivos maliciosos", disse a equipe de Inteligência de Ameaças da Microsoft em uma análise de quarta-feira, descrevendo-a como um "subgrupo maduro tecnicamente e operacionalmente do Mint Sandstorm."
Os ataques, em casos selecionados, envolvem o uso de um backdoor anteriormente não documentado chamado MediaPl, indicando esforços contínuos por parte dos atores de ameaça iranianos para aprimorar seu ofício pós-intrusão.
Mint Sandstorm, também conhecido como APT35, Charming Kitten, TA453 e Yellow Garuda, é conhecido por suas habilidosas campanhas de engenharia social, chegando até mesmo a usar contas legítimas, mas comprometidas, para enviar e-mails de phishing personalizados para possíveis alvos.
Acredita-se que seja afiliado à Guarda Revolucionária Islâmica do Irã (IRGC).
O sub-cluster, segundo Redmond, se envolve em engenharia social intensiva de recursos para destacar jornalistas, pesquisadores, professores e outros indivíduos com percepções sobre questões de segurança e política de interesse de Teerã.
O último conjunto de intrusões é caracterizado pelo uso de iscas relacionadas à guerra entre Israel e Hamas, enviando e-mails inócuos sob o disfarce de jornalistas e outros indivíduos de alto perfil para construir um rapport com os alvos e estabelecer um nível de confiança antes de tentar entregar malware aos alvos.
A Microsoft disse que é provável que a campanha seja um esforço empreendido pelo ator de ameaça do estado-nação para coletar perspectivas sobre eventos relacionados à guerra.
O uso de contas violadas pertencentes às pessoas que eles tentavam se passar para enviar as mensagens de e-mail é uma nova tática do Mint Sandstorm não vista antes, assim como é o uso do comando curl para se conectar à infraestrutura de comando e controle (C2).
Caso os alvos se envolvam com o ator de ameaça, eles são enviados um e-mail de acompanhamento contendo um link malicioso que aponta para um arquivo de arquivo RAR, que, quando aberto, leva à recuperação de scripts Visual Basic do servidor C2 para persistir nos ambientes dos alvos.
As cadeias de ataque abrem ainda mais o caminho para implantações personalizadas como MischiefTut ou MediaPl, sendo que o primeiro foi divulgado pela Microsoft em outubro de 2023.
Implementado em PowerShell, MischiefTut é um backdoor básico que pode executar comandos de reconhecimento, escrever saídas para um arquivo de texto e baixar ferramentas adicionais em um sistema comprometido.
O primeiro uso registrado do malware remonta ao final de 2022.
MediaPl, por outro lado, se disfarça como Windows Media Player e é projetado para transmitir comunicações criptografadas para seu servidor C2 e lançar comandos recebidos do servidor.
"Mint Sandstorm continua a melhorar e modificar as ferramentas usadas nos ambientes dos alvos, atividade que pode ajudar o grupo a persistir em um ambiente comprometido e a evadir melhor a detecção", disse a Microsoft.
"A capacidade de obter e manter acesso remoto ao sistema de um alvo pode permitir que o Mint Sandstorm realize uma série de atividades que podem afetar adversamente a confidencialidade de um sistema."
A divulgação ocorre enquanto o jornal holandês De Volkskrant revelou no início deste mês que Erik van Sabben, um engenheiro holandês recrutado pelos serviços de inteligência de Israel e dos EUA, pode ter usado uma bomba d'água para implantar uma variante inicial do agora infame malware Stuxnet em uma instalação nuclear iraniana em algum momento de 2007.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...