Компания Microsoft предупреждаето целенаправленных кибератаках иранских хакеров на высокопоставленных сотрудников исследовательских организаций и университетов в Европе и США. Атаки осуществляются с использованием фишинга и нового вредоносного ПО MediaPl.
Microsoft приписала деятельность иранской кибершпионской группировке APT35 (Charming Kitten, Phosphorus, Mint Sandstorm), связанной с Корпусом стражей исламской революции (КСИР), участники которой используют специально подготовленные и сложно обнаруживаемые фишинговые письма, отправляемые через ранее скомпрометированные аккаунты.
С ноября 2023 года специалисты наблюдали, как конкретная группировка Mint Sandstorm (Phosphorus) нацеливается на выдающихся специалистов по вопросам Ближнего Востока в университетах и исследовательских организациях в Бельгии, Франции, Газе, Израиле, Великобритании и США.
Цепочка атаки Mint Sandstorm
В ходе кампании группа Mint Sandstorm с помощью социальной инженерии манипулировала жертвами и заставляла их загружать вредоносные файлы. В некоторых случаях было обнаружено использование новых инструментов после взлома, включая бэкдор MediaPl.
MediaPl использует зашифрованные каналы связи для обмена информацией с сервером управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) и маскируется под Windows Media Player, чтобы избежать обнаружения.
Связь между MediaPl и его C2-сервером осуществляется с использованием шифрования AES и кодирования Base64, а обнаруженная на скомпрометированных устройствах версия обладает способностью автоматически завершать работу, временно приостанавливать свою работу, повторно устанавливать связь с C2 и выполнять команды C2 с использованием функции _popen.
Второе вредоносное ПО на основе PowerShell, известное как MischiefTut, помогает устанавливать дополнительные вредоносные инструменты и обладает возможностями разведки, позволяя злоумышленникам запускать команды на взломанных системах и отправлять результаты на серверы хакеров.
Microsoft отмечает, что люди, которые работают или имеют влияние над разведывательным и политическим сообществом, являются привлекательными целями для киберпреступников, стремящихся собрать разведданные для своего правительства. Исходя из особенностей целей в этой кампании, и использования приманок, связанных с конфликтом в Израиле, можно предположить, что кампания является попыткой собрать мнения о текущих событиях от людей любого идеологического спектра.