伊朗APT MINT SANDSTORM 攻击研究

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

伊朗威胁组织以针对各种组织进行高层间谍活动而闻名，最近该组织将目标对准了几个国家关注中东问题的研究机构和大学，在某些情况下还部署了一种名为 MediaPI 的新型定制后门。

微软研究人员一直在跟踪这场始于 11 月的攻击活动，受害者来自美国、英国、加沙、以色列和其他国家。这场攻击活动是由微软称之为Mint Sandstorm 的组织发起的，该组织与伊朗伊斯兰革命卫队有关联。Mint Sandstorm 的活动与其他研究团队称之为 APT35 或 Charming Kitten 的组织有重叠。在这场攻击活动中，攻击者一直使用他们自定义的后门以及网络钓鱼诱饵，微软研究人员表示，这些诱饵很难被识别为恶意软件。

“与 Mint Sandstorm 的这个分支相关的运营者都是耐心且技术娴熟的社会工程师，他们的技术缺乏许多让用户快速识别网络钓鱼电子邮件的标志。在此次活动的某些情况下，该分支还使用合法但被入侵的账户发送网络钓鱼诱饵。此外，Mint Sandstorm 继续改进和修改目标环境中使用的工具，这些活动可能有助于该组织在被入侵的环境中持续存在并更好地逃避检测，”微软威胁情报研究人员表示。

“据悉，该组织会进行资源密集型的社会工程活动，目标是记者、研究人员、教授或其他对德黑兰感兴趣的安全和政策问题有见解或看法的个人。这些与情报和政策界合作或有可能影响情报和政策界的个人，对于试图为支持其活动的国家（如伊朗伊斯兰共和国）收集情报的对手来说，是极具吸引力的目标。”

Mint Sandstorm 是一个能力强大、成熟的组织，拥有各种技术和工具。该组织经常在其活动中依赖网络钓鱼和社会工程，在最近的一次活动中，该组织利用了已知人员的被盗合法账户，这些人员是该组织的受害者熟悉且可能信任的人。在某些情况下，他们会发送一封或多封不包含恶意内容的电子邮件，以便与收件人建立关系，然后再传递恶意负载。该负载通常以带有恶意链接的消息形式出现，最终会导致下载恶意文件。

一些受害者收到了 Mint Sandstorm 攻击者用来在受感染的机器上保持持久性的 VBS 文件。攻击者还使用了两个后门：MediaPI 和 MischiefTut。MediaPI 伪装成 Windows Media Player，而 MischiefTut 是一个 PowerShell 后门，可以收集数据并将其发送到攻击者的 C2 服务器，还可以下载其他工具。

在过去的活动中，Mint Sandstorm/Phosphorus 曾针对医疗专业人员和其他潜在受害者群体发动攻击。近年来，该组织不断发展和改进其工具和技术，并有能力接触到备受瞩目的目标。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗APT MINT SANDSTORM 攻击研究