Hooggeprofileerde personen die zich bezighouden met zaken in het Midden-Oosten aan universiteiten en onderzoeksorganisaties in België, Frankrijk, Gaza, Israël, Groot-Brittannië en de VS zijn het doelwit geweest van een Iraanse cyberspionagegroep genaamd Denk aan zandstorm sinds november 2023.
De bedreigingsacteur “gebruikte op maat gemaakte phishing-lokmiddelen in een poging om doelen sociaal te manipuleren om kwaadaardige bestanden te downloaden”, zei het Microsoft Threat Intelligence-team in een analyse van woensdag, en omschreef het als een “technisch en operationeel volwassen subgroep van Mind Sandstorm.”
Bij de aanvallen wordt in bepaalde gevallen gebruik gemaakt van een voorheen ongedocumenteerde achterdeur genaamd MediaPl, wat wijst op voortdurende pogingen van Iraanse dreigingsactoren om hun handelsvaardigheden na de inbraak te verfijnen.
Mint Sandstorm, ook bekend als APT35, Charming Kitten, TA453 en Yellow Garuda, staat bekend om zijn bedreven social engineering-campagnes, waarbij zelfs gebruik wordt gemaakt van legitieme maar gecompromitteerde accounts om op maat gemaakte phishing-e-mails naar potentiële doelwitten te sturen. Er wordt aangenomen dat het banden heeft met de Iraanse Islamitische Revolutionaire Garde (IRGC).
Volgens Redmond houdt het subcluster zich bezig met resource-intensieve social engineering om journalisten, onderzoekers, professoren en andere individuen te selecteren met inzichten in veiligheids- en beleidskwesties die van belang zijn voor Teheran.
De nieuwste inbraakreeks wordt gekenmerkt door het gebruik van lokmiddelen die verband houden met de oorlog tussen Israël en Hamas, waarbij onschadelijke e-mails worden verzonden onder het mom van journalisten en andere spraakmakende personen om een band op te bouwen met doelwitten en een niveau van vertrouwen te bereiken voordat wordt geprobeerd malware te leveren aan doelen.
Microsoft zei dat de campagne waarschijnlijk een poging is van de nationale dreigingsspeler om perspectieven te verzamelen op gebeurtenissen die verband houden met de oorlog.
Het gebruik van gehackte accounts van de mensen die ze probeerden na te doen om de e-mailberichten te verzenden is een nieuwe Mind Sandstorm-tactiek die nog niet eerder is gezien, net als het gebruik van het curl-commando om verbinding te maken met de command-and-control (C2) infrastructuur.
Als de doelwitten met de bedreigingsacteur in aanraking komen, krijgen ze een vervolg-e-mail met daarin een kwaadaardige link die verwijst naar een RAR-archiefbestand, dat, wanneer het wordt geopend, ertoe leidt dat Visual Basic-scripts van de C2-server worden opgehaald om in de omgeving te blijven bestaan. omgevingen van doelwitten.
De aanvalsketens maken verder de weg vrij voor op maat gemaakte implantaten zoals MischiefTut of MediaPl, waarvan de eerste voor het eerst werd onthuld door Microsoft in oktober 2023.
Geïmplementeerd in PowerShell, is MischiefTut een eenvoudige achterdeur die verkenningsopdrachten kan uitvoeren, uitvoer naar een tekstbestand kan schrijven en extra tools kan downloaden op een gecompromitteerd systeem. Het eerste geregistreerde gebruik van de malware dateert van eind 2022.
MediaPl daarentegen doet zich voor als Windows Media Player en is ontworpen om gecodeerde communicatie naar de C2-server te verzenden en opdrachten te starten die het van de server heeft ontvangen.
“Mint Sandstorm gaat door met het verbeteren en aanpassen van de tools die in de omgevingen van doelwitten worden gebruikt, activiteiten die de groep kunnen helpen volhouden in een gecompromitteerde omgeving en detectie beter kunnen omzeilen”, aldus Microsoft.
“De mogelijkheid om op afstand toegang tot het systeem van een doelwit te verkrijgen en te behouden, kan Mint Sandstorm in staat stellen een reeks activiteiten uit te voeren die de vertrouwelijkheid van een systeem negatief kunnen beïnvloeden.”
De onthulling komt op het moment dat de Volkskrant eerder deze maand onthulde dat Erik van Sabben, een Nederlandse ingenieur gerekruteerd door Israëlische en Amerikaanse inlichtingendiensten, mogelijk een waterpomp heeft gebruikt om aanwenden een vroege variant van de inmiddels beruchte Stuxnet-malware in een Iraanse nucleaire installatie ergens in 2007.
