Hochrangige Personen, die an Nahost-Angelegenheiten an Universitäten und Forschungseinrichtungen in Belgien, Frankreich, Gaza, Israel, Großbritannien und den USA arbeiten, sind seit November 2023 Ziel einer iranischen Cyber-Spionagegruppe namens Mind Sandstorm.
Die Bedrohung „setzte maßgeschneiderte Phishing-Köder ein, um die Ziele dazu zu bringen, bösartige Dateien herunterzuladen“, sagte das Microsoft Threat Intelligence-Team in einer Analyse vom Mittwoch und bezeichnete sie als „technisch und operationell reife Untergruppe von Mind Sandstorm“.
Die Angriffe beinhalten in einigen Fällen die Verwendung einer zuvor nicht dokumentierten Hinterhalt-Tür namens MediaPl, was auf fortlaufende Bemühungen iranischer Bedrohungsakteure hinweist, ihre Post-Eindringungs-Handwerkskunst zu verfeinern.
Mint Sandstorm, auch bekannt als APT35, Charming Kitten, TA453 und Yellow Garuda, ist für seine geschickten Social Engineering-Kampagnen bekannt und greift sogar auf legitime, aber kompromittierte Konten zurück, um maßgeschneiderte Phishing-E-Mails an potenzielle Ziele zu senden. Es wird angenommen, dass es mit dem iranischen Revolutionsgardekorps (IRGC) verbunden ist.
Die Untergruppe verwendet Ressourcen-intensive Social Engineering-Techniken, um Journalisten, Forscher, Professoren und andere Personen mit Einblicken in Sicherheits- und Politikfragen von Interesse für Teheran zu identifizieren.
Der aktuelle Angriffssatz zeichnet sich durch Köder aus, die sich auf den Israel-Hamas-Krieg beziehen. Unter dem Vorwand von Journalisten und anderen prominenten Personen werden unscheinbare E-Mails verschickt, um Vertrauen aufzubauen, bevor versucht wird, Malware an die Ziele zu liefern.
Microsoft zufolge handelt es sich bei der Kampagne wahrscheinlich um einen Versuch des nationalstaatlichen Bedrohungsakteurs, Erkenntnisse zu Ereignissen im Zusammenhang mit dem Krieg zu sammeln.
Die Verwendung von gekaperten Konten der Person, die sie vorgeben zu sein, um die E-Mail-Nachrichten zu versenden, ist eine neue Taktik von Mind Sandstorm, ebenso wie die Verwendung des curl-Befehls, um sich mit der Befehls- und Kontrollinfrastruktur (C2) zu verbinden.
Wenn die Ziele mit dem Bedrohungsakteur interagieren, erhalten sie eine Follow-up-E-Mail mit einem bösartigen Link, der auf eine RAR-Archivdatei verweist. Beim Öffnen dieser Datei werden Visual Basic-Skripte von dem C2-Server abgerufen und in der Umgebung der Ziele dauerhaft installiert.
Die Angriffsketten bereiten den Weg für maßgeschneiderte Implantate wie MischiefTut oder MediaPl. Ersteres wurde erstmals im Oktober 2023 von Microsoft veröffentlicht.
MischiefTut ist ein einfacher Backdoor, der in PowerShell implementiert ist und Aufklärungsbefehle ausführen, Ausgaben in eine Textdatei schreiben und zusätzliche Tools auf einem kompromittierten System herunterladen kann. Die erste dokumentierte Verwendung der Malware stammt aus dem Jahr 2022.
MediaPl hingegen tarnt sich als Windows Media Player und ist darauf ausgelegt, verschlüsselte Kommunikation mit seinem C2-Server herzustellen und die empfangenen Befehle auszuführen.
„Mint Sandstorm verbessert und modifiziert weiterhin die Werkzeuge, die in den Umgebungen der Ziele verwendet werden. Diese Aktivitäten könnten der Gruppe helfen, in einer kompromittierten Umgebung zu persistieren und eine bessere Erkennung zu vermeiden“, sagte Microsoft.
„Die Fähigkeit, den Remote-Zugriff auf ein System des Ziels zu erlangen und aufrechtzuerhalten, ermöglicht es Mind Sandstorm, eine Reihe von Aktivitäten durchzuführen, die die Vertraulichkeit eines Systems beeinträchtigen können.“
Die Offenlegung erfolgt, nachdem die niederländische Zeitung De Volkskrant Anfang dieses Monats enthüllte, dass Erik van Sabben, ein niederländischer Ingenieur, der von israelischen und US-amerikanischen Geheimdiensten angeworben wurde, möglicherweise eine Wasserpumpe verwendet hat, um eine frühere Variante der mittlerweile berüchtigten Stuxnet-Malware in einer iranischen Nuklearanlage einzusetzen. dies geschah etwa im Jahr 2007.