Indivíduos de alto perfil que trabalham em assuntos do Oriente Médio em universidades e organizações de pesquisa na Bélgica, França, Gaza, Israel, Reino Unido e EUA têm sido alvo de um grupo iraniano de espionagem cibernética chamado Mint Sandstorm desde novembro de 2023.
O ator de ameaça "usou iscas de phishing personalizadas na tentativa de enganar socialmente os alvos para que baixassem arquivos maliciosos", disse a equipe de Inteligência de Ameaças da Microsoft em uma análise de quarta-feira, descrevendo-a como um "subgrupo maduro tecnicamente e operacionalmente do Mint Sandstorm."
Os ataques, em casos selecionados, envolvem o uso de um backdoor anteriormente não documentado chamado MediaPl, indicando esforços contínuos por parte dos atores de ameaça iranianos para aprimorar seu ofício pós-intrusão.
Mint Sandstorm, também conhecido como APT35, Charming Kitten, TA453 e Yellow Garuda, é conhecido por suas habilidosas campanhas de engenharia social, chegando até mesmo a usar contas legítimas, mas comprometidas, para enviar e-mails de phishing personalizados para possíveis alvos.
Acredita-se que seja afiliado à Guarda Revolucionária Islâmica do Irã (IRGC).
O sub-cluster, segundo Redmond, se envolve em engenharia social intensiva de recursos para destacar jornalistas, pesquisadores, professores e outros indivíduos com percepções sobre questões de segurança e política de interesse de Teerã.
O último conjunto de intrusões é caracterizado pelo uso de iscas relacionadas à guerra entre Israel e Hamas, enviando e-mails inócuos sob o disfarce de jornalistas e outros indivíduos de alto perfil para construir um rapport com os alvos e estabelecer um nível de confiança antes de tentar entregar malware aos alvos.
A Microsoft disse que é provável que a campanha seja um esforço empreendido pelo ator de ameaça do estado-nação para coletar perspectivas sobre eventos relacionados à guerra.
O uso de contas violadas pertencentes às pessoas que eles tentavam se passar para enviar as mensagens de e-mail é uma nova tática do Mint Sandstorm não vista antes, assim como é o uso do comando curl para se conectar à infraestrutura de comando e controle (C2).
Caso os alvos se envolvam com o ator de ameaça, eles são enviados um e-mail de acompanhamento contendo um link malicioso que aponta para um arquivo de arquivo RAR, que, quando aberto, leva à recuperação de scripts Visual Basic do servidor C2 para persistir nos ambientes dos alvos.
As cadeias de ataque abrem ainda mais o caminho para implantações personalizadas como MischiefTut ou MediaPl, sendo que o primeiro foi divulgado pela Microsoft em outubro de 2023.
Implementado em PowerShell, MischiefTut é um backdoor básico que pode executar comandos de reconhecimento, escrever saídas para um arquivo de texto e baixar ferramentas adicionais em um sistema comprometido.
O primeiro uso registrado do malware remonta ao final de 2022.
MediaPl, por outro lado, se disfarça como Windows Media Player e é projetado para transmitir comunicações criptografadas para seu servidor C2 e lançar comandos recebidos do servidor.
"Mint Sandstorm continua a melhorar e modificar as ferramentas usadas nos ambientes dos alvos, atividade que pode ajudar o grupo a persistir em um ambiente comprometido e a evadir melhor a detecção", disse a Microsoft.
"A capacidade de obter e manter acesso remoto ao sistema de um alvo pode permitir que o Mint Sandstorm realize uma série de atividades que podem afetar adversamente a confidencialidade de um sistema."
A divulgação ocorre enquanto o jornal holandês De Volkskrant revelou no início deste mês que Erik van Sabben, um engenheiro holandês recrutado pelos serviços de inteligência de Israel e dos EUA, pode ter usado uma bomba d'água para implantar uma variante inicial do agora infame malware Stuxnet em uma instalação nuclear iraniana em algum momento de 2007.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...