İran bağlantılı Mint Sandstorm grubu, ikna edici sosyal mühendislik çabalarıyla üniversitelerdeki ve araştırma kuruluşlarındaki Ortadoğu işleri uzmanlarını hedef alıyor ve bu çabalar, kötü amaçlı yazılım dağıtarak ve kurbanların sistemlerini tehlikeye atarak sonuçlanıyor.
İran ordusuyla bağları olan Mint Sandstorm grubunun son casusluk kampanyası, İran hükümetini ilgilendiren güvenlik ve politika konularını ele alan gazetecilerden, araştırmacılardan, profesörlerden ve diğer profesyonellerden bilgi çalmayı amaçlıyor.
Buna göre bir Microsoft tavsiyesi Siber casusluk grubu bu hafta İsrail-Hamas savaşıyla ilgili tuzaklar kullanıyor ve bu da Microsoft’un, grubun muhtemelen politika uzmanlarından bu çatışma hakkında istihbarat ve perspektif toplamayı planladığı sonucuna varmasına neden oluyor.
Analiz, grubun ısrarcı ve sürekli çabalarıyla tanındığını belirtti.
“Sabırlı ve Yüksek Nitelikli Sosyal Mühendisler”
Nane Kum Fırtınası Microsoft’un adı İran ordusunun bir istihbarat kolu olan İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı bir dizi siber operasyon ekibi için.
Grup, şu şekilde bilinen tehdit aktörleriyle örtüşüyor: APT35 Google’ın Mandiant’ı tarafından ve büyüleyici yavru kedi Crowdstrike tarafından; Şirket, son casusluk kampanyasının muhtemelen “teknik ve operasyonel olarak Mint Sandstorm’un olgun bir alt grubu” tarafından yürütüldüğünü söyledi.
Microsoft Tehdit İstihbaratı analizde “Mint Sandstorm’un bu alt grubuyla ilişkili operatörler, sabırlı ve yüksek vasıflı sosyal mühendislerdir; bu mühendislerin ticari becerileri, kullanıcıların kimlik avı e-postalarını hızlı bir şekilde tanımlamasına olanak tanıyan birçok özellikten yoksundur” dedi. “Bu kampanyanın bazı örneklerinde, bu alt grup kimlik avı tuzakları göndermek için meşru ancak güvenliği ihlal edilmiş hesapları da kullandı.”
Secureworks’e göre grup, sofistike sosyal mühendislik kampanyalarıyla tanınıyor; Microsoft’un Mint Sandstorm’unun, Secureworks’ün Karşı Tehdit Birimi’nin (CTU) “Kobalt Yanılsaması” olarak adlandırdığı grupla en yakın işbirliği içinde olduğunu düşünüyor.
CTU’nun tehdit araştırması direktörü Rafe Pilling, grubun düzenli olarak İran hükümetine tehdit oluşturduğu düşünülen kişilere karşı gözetleme ve casusluk faaliyetleri yürüttüğünü, örneğin geçen yıl kadınlara ve azınlık gruplarına yönelik baskıları belgeleyen araştırmacıları hedef aldığını söylüyor.
“İran hükümetinin veya ona bağlı istihbarat birimlerinin stratejik veya siyasi çıkarlarını ilgilendiren konuları inceleyen herhangi bir kurum veya araştırmacı hedef olabilir” diyor. “İran ve Orta Doğu’daki siyasi, politika ve güvenlik konularını ele alan gazetecilerin ve akademik araştırmacıların yanı sıra İran’da veya İran’ın ilgi alanlarında çalışan sivil toplum kuruluşları ve STK’ların da hedef alındığını gördük.”
Olağanüstü Taklitçiler
Grup sıklıkla kaynak yoğun çalışmalar yürütüyor sosyal mühendislik hedeflenen gruplara veya bireylere yönelik kampanyalar, tıpkı Rus APT grubu ColdRiver, bu hafta da tehdit istihbaratı analizine konu oldu. Gazetecilerin veya tanınmış araştırmacıların tavrını benimsemek, Mint Sandstorm’un tipik bir taktiğidir ve eğitim kurumlarını hedef almak da artık yaygınlaşmıştır.
Secureworks’ten Pilling, Mint Sandstorm’un tipik olarak hedeflenen kişiyle bir röportaj talep etme veya belirli konular hakkında bir konuşma başlatma kisvesi altında etkileşime geçeceğini ve sonunda e-posta dizisini kişiyi bir bağlantıya tıklamaya ikna edebilecek noktaya kadar manipüle edeceğini söylüyor.
Pilling, eğer grup bir e-posta hesabının kimlik bilgilerini çalabilirse, bunu genellikle meşru bir gazeteci veya araştırmacı gibi daha iyi görünmek için kullanacağını söylüyor.
“Aslında bir gazetecinin e-posta hesabının gizliliğini ihlal ederek diğer kişileri hedef almak çok daha az yaygın ama duyulmamış bir şey değil” diyor. “Devlet destekli bazı gruplar, gerçek hedefleri tarafından güvenilme olasılığı daha yüksek olan kimlik avı saldırıları göndermek için hedeflerinin birlikte çalıştığı kuruluşların güvenliğini tehlikeye atacak.”
Siber Casusluk için Özel Arka Kapılar
Saldırganlar hedefleriyle yakınlık kurduktan sonra, kötü amaçlı bir alan adına bağlantı içeren bir e-posta gönderirler ve bu genellikle incelenmek üzere bir taslak belge içerdiğini iddia ettikleri bir RAR arşiv dosyasına yol açar. Saldırganlar, bir dizi adımın ardından en sonunda iki özel arka kapı programından birini bırakıyor: Windows Media Player gibi görünen MediaPI veya PowerShell’de yazılmış bir araç olan MischiefTut.
Microsoft, “Mint Sandstorm, hedef ortamlarda kullanılan araçları, grubun tehlikeye atılmış bir ortamda varlığını sürdürmesine ve tespitten daha iyi kaçmasına yardımcı olabilecek faaliyetleri geliştirmeye ve değiştirmeye devam ediyor” dedi.
Critical Start’ın siber tehdit araştırmalarından sorumlu üst düzey yöneticisi Callie Guenther, bir beyanında, ulus devlet destekli gruplar ve finansal motivasyona sahip siber suçluların sıklıkla teknikleri paylaştığını, dolayısıyla özel arka kapı kullanımının dikkate değer olduğunu yazdı.
“Bu taktiklerin yayılması siber tehdit ortamında genel bir artışa işaret edebilir” dedi. “Hedefli, jeopolitik motivasyonlu bir saldırı olarak başlayan saldırı, daha fazla sayıda kuruluşu ve kişiyi etkileyen daha yaygın bir tehdide dönüşebilir.”