Microsoft ha advertido sobre una sofisticada estafa de phishing con el uso de una puerta trasera personalizada llamada MediaAPI alojada por la casa de moneda iraní Sandstorm APT.
Microsoft Threat Intelligence informa que actores de amenazas vinculados a Irán, incluidos Mint Sandstorm (APT35 y Charming Kitten), se han dirigido a investigadores de alto nivel que trabajan en el conflicto entre Israel y Hamas a través de una sofisticada campaña de ingeniería social mediante una estafa de phishing.
La campaña tiene como objetivo reunir diversas perspectivas sobre el conflicto, dirigida a quienes trabajan en universidades e institutos de investigación. Mint Sandstorm, una subdivisión del brazo de inteligencia de Irán, el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), se especializa en comprometer información confidencial de objetivos de alto valor a través de campañas de ingeniería social que requieren un uso intensivo de recursos.
Según la investigación de Microsoft, Mint Sandstorm, un subconjunto de PHOSPHORUS, se ha dirigido desde noviembre a figuras destacadas que trabajan en asuntos de Oriente Medio entre investigadores asociados con institutos de investigación académica y universidades del Reino Unido, Estados Unidos, Bélgica, Francia, Gaza e Israel. 2023.
Microsoft notó nuevas técnicas en esta campaña de Mint Sandstorm, incluido el uso de cuentas de correo electrónico comprometidas para enviar señuelos de phishing, conectarse a su servidor C2 usando el cliente para el comando URL (curl) y distribuir una puerta trasera personalizada llamada MediaPl.
Un actor de amenazas utiliza direcciones de correo electrónico falsas para hacerse pasar por periodistas y enviar correos electrónicos benignos solicitando su revisión o comentarios sobre un artículo sobre la guerra entre Israel y Hamas. Utilizaron cuentas de correo electrónico legítimas pero comprometidas que pertenecían a personas a las que querían suplantar.
Si alguien cae en el anzuelo, Mint Sandstorm envía otro correo electrónico con enlaces a dominios maliciosos que lo llevan a sitios como cloud-document-editonrendercom para recuperar un archivo RAR que contiene el borrador del documento.
El archivo.rar se descomprime en un archivo de doble extensión (.pdf.lnk) y lanza un comando curl para recuperar archivos maliciosos de los subdominios controlados por el atacante de glitchme y supbaseco.
Microsoft notó que se descargaron varios archivos en los dispositivos de los objetivos en esta operación, incluidos varios scripts .vbs y una versión renombrada de NirCmd. Un atacante utiliza un archivo malicioso, Persistence.vbs, para persistir en un entorno comprometido.
Es posible que la campaña haya mejorado aún más la credibilidad de Mint Sandstorm y haya contribuido a su éxito. Las primeras etapas de Tradecraft implican hacerse pasar por personas conocidas, utilizar señuelos de phishing personalizados y mensajes sutiles.
Las investigaciones sugieren que Mint Sandstorm mejora y modifica constantemente sus herramientas para apuntar a los entornos deseados, lo que le permite mantener la persistencia y evadir la detección.
Microsoft Mint recomienda implementar mitigaciones para reducir el impacto de una campaña de tormenta de arena. Esto incluye capacitar a los usuarios finales para que no hagan clic en URL en mensajes no solicitados y revelen/compartan sus credenciales, así como también revisen la ortografía y la gramática deficientes en correos electrónicos de phishing y nombres de aplicaciones fraudulentas.
Microsoft anima a los usuarios a utilizar navegadores web compatibles con SmartScreen para identificar/bloquear sitios web maliciosos y estafas. Además, habilite la protección de red para bloquear conexiones a dominios y direcciones IP maliciosos. Las defensas proporcionadas en la nube pueden cubrir herramientas y técnicas de atacantes en rápida evolución.
Para obtener información, contactamos a Balazs Grecsza, jefe de respuesta a amenazas de Ontineu. “Actores como APT35 tienen objetivos primarios en geopolítica, seguridad nacional y contrainteligencia y preparación militar en situaciones tensas y una comprensión común de las prácticas económicas y comerciales; Sin embargo, a los países sancionados les resulta más difícil dar una buena impresión. dijo Balazs.
“Actores como APT35 tienen objetivos principales en torno a la geopolítica, la seguridad nacional y la contrainteligencia. en preparación militar para situaciones tensas y comprensión general de las prácticas económicas y comerciales; Sin embargo, los países sancionados tienen un impacto más difícil”, explicó Balazs.
Artículos relacionados
- El grupo iraní Muddy Water ataca a los israelíes con memorandos falsos de phishing
- La mantícora cicatrizada de Irán apunta a Medio Oriente con el malware LIONTAIL
- Peach Sandstorm de Irán despliega una puerta trasera con fuente falsa en zona de defensa
- Hackers iraníes se hacen pasar por israelíes en un ataque de phishing dirigido a LinkedIn
- Microsoft informó que dos grupos de piratas informáticos iraníes explotaban la falla de Papercut