Un approfondimento sulla recente campagna “Mint Sandstorm” che mira a infiltrarsi in organizzazioni di ricerca violando la sicurezza informatica.
Nel mese di novembre del 2023, Microsoft ha rilevato una serie di attacchi sofisticati dalla campagna “Mint Sandstorm”, collegata al gruppo PHOSPHORUS, che aveva come bersagli individui di alto profilo associati a studi sugli affari del Medio Oriente, operanti in università e organizzazioni di ricerca in diverse nazioni, tra cui Belgio, Francia, Gaza, Israele, Regno Unito e Stati Uniti. Queste attività illecite si sono distinte per l’uso di esche di phishing personalizzate per indurre le vittime a scaricare file dannosi.
Isocial ingegneri dietro questa sottofazione di “Mint Sandstorm” si sono dimostrati particolarmente pazienti e abili, distinguendosi per un modus operandi che rende difficile agli utenti l’identificazione degli attacchi di phishing. Si è inoltre osservato l’utilizzo di account legittimi, sebbene compromessi, per inviare esche di phishing. Tali tattiche permettono al gruppo di persistere nell’ambiente compromesso e di eludere con maggiore facilità le rilevazioni.
Mint Sandstorm, un nome che raggruppa diverse sottogruppi legati al Corpo delle Guardie della Rivoluzione Islamica (IRGC), un braccio dell’intelligence dell’Iran, è un’entità conosciuta per condurre campagne di ingegneria sociale ad alta intensità risorse, mirando a giornalisti, ricercatori, docenti e individui con una prospettiva sugli affari di sicurezza e politica di interesse per Teheran.
Le vittime di tale campagna, per la loro posizione influente nei circoli dell’intelligence e della politica, rappresentano obiettivi di grande interesse per chi cerca di raccogliere intelligence per conto di stati sponsor come la Repubblica Islamica dell’Iran. Il focus su questioni quali la guerra tra Israele e Hamas suggerisce che lo scopo sia acquisire diverse prospettive sugli eventi relative al conflitto.
Nelle movenze osservate in questa campagna, Microsoft ha notato l’introduzione di nuove tecniche, fra cui l’utilizzo di account email legittimi, ma compromessi, per l’invio di l’esche di phishing, il ricorso al comando Client for URL (curl) per connettersi al server di comando e controllo (C2) di Mint Sandstorm e scaricare file malevoli, nonché il dispiegamento di una nuova backdoor personalizzata chiamata MediaPl.
Nel corso di queste attività fraudolente, il gruppo si è spacciato per individui di alto profilo, tra cui giornalisti di noti media, e ha usato in modo astuto l’ingegneria sociale, partendo con messaggi benigni per guadagnare la fiducia delle vittime prima di introdurre contenuti dannosi. Un indizio dell’astuzia dei cyberattaccanti è lo sfruttamento di account compromessi, che potrebbe aver contribuito al successo di tali campagne.
Se le vittime acconsentivano a esaminare gli articoli o i documenti citati nei primi messaggi email, venivano subito dopo indirizzate tramite un link verso un dominio dannoso. Il file .rar scaricato conteneva al suo interno un file con una doppia estensione (.pdf.lnk) che, una volta attivato, eseguiva comandi per recuperare più file dannosi da sottodomini controllati dagli attaccanti.
Il rischio legato alla compromissione di sistemi target provoca non soltanto un pericolo per la confidenzialità dei dati, ma anche rischi legali e d’immagine per le organizzazioni colpite da tali campagne. Alla luce di queste considerazioni, Microsoft continua ad aggiornare e migliorare le proprie capacità di rilevamento per aiutare i propri clienti nella difesa da questa minaccia.
Microsoft suggerisce diverse mitigazioni per ridurre l’impatto delle attività associate alle recenti campagne di “Mint Sandstorm”, inclusi l’utilizzo dello strumento di simulazione di attacchi in Microsoft Defender per Office 365, l’adozione di browser come Microsoft Edge che supportano SmartScreen, e l’attivazione di protezioni basate su cloud tramite Microsoft Defender Antivirus o equivalenti.
Per i clienti di Microsoft Defender XDR è consigliato abilitare le regole di riduzione della superficie di attacco, che offrono una protezione significativa contro le tecniche discusse in questo rapporto. Microsoft Defender Antivirus identifica le attività legate alla backdoor MediaPl come malware Backdoor:Win64/Eyeglass.A e quelle associati a MischiefTut come Behavior:Win32/MischiefTut.
Gli indicatori di compromissione e i dettagli di rilevamento per le aziende interessate possono essere oggetto di indagine per identificare possibili infiltrazioni legate a questa campagna di attacco. Per approfondire questo argomento, visitare il Microsoft Threat Intelligence Blog e ascoltare il podcast Microsoft Threat Intelligence per intuizioni dei membri della comunità di intelligence di Microsoft sul paesaggio delle minacce in continua evoluzione.