A partire da novembre 2023, Microsoft ha rilevato attacchi effettuati da alcuni membri del gruppo Mint Sandstorm contro giornalisti, ricercatori e professori universitari che si occupano di questioni relative al Medio Oriente. Sfruttando tecniche di social engineering e phishing, i cybercriminali iraniani hanno installato la backdoor MediaPI per raccogliere dati sensibili.
Tattiche, tecniche e procedure
I cybercriminali di Mint Sandstorm sono legati al Corpo delle guardie della rivoluzione islamica, quindi sono finanziati dalla Repubblica islamica dell’Iran per attività di spionaggio. Per la campagna di phishing scoperta da Microsoft hanno usato account email compromessi o che sembrano appartenere a giornalisti interessati alla guerra tra Hamas e Israele.
Sfruttando quindi le tecniche di social engineering hanno guadagnato la fiducia delle vittime, chiedendo successivamente il parere su un articolo. Quest’ultimo è inserito in un archivio RAR che può essere scaricato cliccando sul link presente nell’email. All’interno c’è invece un file con doppia estensione (pdf.lnk) che, quando eseguito, scarica diversi file VBS infetti.
Uno di essi stabilisce la persistenza (esecuzione automatica all’avvio) tramite un’attività pianificata o una chiave di registro. Dopo aver raccolto diversi dati dal computer, i cybercriminali installano la backdoor MediaPI, mascherata come Windows Media Player, che si collega al server C2 (command and control). In alternativa viene installata la backdoor MischiefTut implementata in PowerShell.
I cybercriminali possono così accedere al computer da remoto ed eseguire varie attività. Microsoft consiglia di usare la funzionalità Defender SmartScreen e attivare la protezione cloud di Defender Antivirus.
Ti potrebbe interessare
22 gen 2024