目录
微软威胁情报称,与伊朗有关的威胁行为者正在通过复杂的社会工程活动瞄准从事以色列-哈马斯冲突研究的知名研究人员.
威胁发起者 Mint Sandstorm(又名 APT35 和 Charming Kitten), 与伊朗军事情报部门的联系, 正在使用定制的网络钓鱼诱饵来诱使目标下载恶意文件,目的是窃取敏感数据.
这项正在进行的活动于 2023 年 11 月首次被发现,目标是被认为有可能影响伊朗伊斯兰共和国感兴趣领域的情报和政策的专家.
微软认为,该活动旨在收集不同意识形态的个人对以色列与哈马斯冲突的不同观点.
这些目标主要针对比利时、法国、加沙、以色列、英国和美国的大学和研究机构.
薄荷沙尘暴如何针对中东专家
微软表示,它观察到 Mint Sandstorm 在这次活动中使用了新的策略、技术和程序 (TTP),包括使用合法但受到威胁的电子邮件帐户发送网络钓鱼诱饵.
最初,威胁行为者假装是知名人士(例如知名新闻媒体的记者)向目标发送电子邮件,请求提供有关以色列-哈马斯战争的文章的信息.
在某些情况下,用于发送消息的电子邮件地址被欺骗以类似于他们所欺骗的个人的个人电子邮件帐户.
在其他情况下,使用属于被冒充个人的合法但受到威胁的电子邮件帐户.
微软威胁情报团队表示,第一条消息是良性的,不包含恶意内容,目的是与受害者建立信任。 使用合法电子邮件帐户可能会增强 Mint Sandstorm 的可信度.
如果目标同意查看初始电子邮件中引用的文章或文档,与伊朗有关的攻击者会随后发送一封包含恶意域链接的电子邮件.
这些域托管一个 RAR 存档文件,声称包含草稿文档。 一旦打开,.rar。 解压成同名双扩展名文件.
打开此文件后,它会运行一个curl命令,从Mint Sandstorm拥有的子域中检索一系列恶意文件, 故障[.]我 和 苏帕基[.]co.
在正在进行的 Mint Sandstorm 活动中观察到导致后门的入侵链。 来源:微软威胁情报
微软表示,在这次活动中,多种恶意文件类型被下载到目标设备上。 这包括合法命令行工具 NirCmd 的重命名版本,它允许在设备上执行许多操作而不显示用户界面.
据观察,新的自定义后门 MediaPI 会向 Mint Sandstorm 的命令和控制 (C2) 发送加密通信。 该文件伪装成合法的 Windows Media Player 应用程序。 与 MediaPl 的 C2 服务器之间的通信均经过 AES CBC 加密和 Base64 编码,并且文件能够自行终止.
还观察到攻击者将受害者设备上的写入活动写入一系列文本文件,其中一个名为 文档记录器.txt.
微软团队强调该活动的复杂性,这使得受害者很难发现.
“与 Mint Sandstorm 子组织相关的操作者都是耐心且技术精湛的社会工程师,他们的技术缺乏许多允许用户快速识别网络钓鱼电子邮件的特征,”微软博客写道.
防范薄荷沙尘暴活动
微软为参与中东事务研究的大学和组织提出了以下建议,以防范此次活动中使用的网络钓鱼电子邮件:
- 培训最终用户不要点击未经请求的消息中的 URL 并泄露其凭据。 这包括检查拼写和语法错误以及看似源自合法应用程序或公司的欺骗性应用程序名称、徽标和域 URL
- 使用能够识别和阻止与恶意域和 IP 地址的连接的工具
- 打开基于云的机器学习保护来阻止新的和未知的恶意软件
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
