自 2023 年 11 月以来,微软观察到 Mint Sandstorm (PHOSPHORUS) 的一个独特子集,其目标是在比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士。在这次活动中,Mint Sandstorm 使用定制的网络钓鱼诱饵,试图通过社交工程手段诱使目标下载恶意文件。在少数情况下,微软观察到了新的入侵后技巧,包括使用名为 MediaPl 的新定制后门。
与 Mint Sandstorm 的这个分支相关的操作员都是耐心且技术娴熟的社会工程师,他们的技术缺乏许多让用户快速识别网络钓鱼电子邮件的标志。在此次攻击活动中的某些情况下,该分支还使用合法但被盗的账户发送网络钓鱼诱饵。此外,Mint Sandstorm 继续改进和修改目标环境中使用的工具,这些活动可能有助于该组织在被盗环境中持续存在并更好地逃避检测。
Mint Sandstorm(与其他研究人员追踪的威胁行为者 APT35 和 Charming Kitten 重叠)是一个复合名称,用于描述与伊朗军方情报机构伊斯兰革命卫队 (IRGC)有联系的几个活动子组织。微软将本博客中详述的活动归因于 Mint Sandstorm 中一个技术和操作成熟的子组织,该组织专门获取高价值目标的敏感信息并窃取这些信息。该组织以开展资源密集型社会工程活动而闻名,目标是记者、研究人员、教授或其他对德黑兰感兴趣的安全和政策问题有见解或看法的个人。
这些与情报和政策部门合作或有可能影响情报和政策部门的个人,对于试图为伊朗伊斯兰共和国等支持其活动的国家收集情报的对手来说,是极具吸引力的目标。根据此次活动中观察到的目标身份以及与以色列-哈马斯战争有关的诱饵的使用情况,这次活动可能是为了从不同意识形态的个人那里收集与战争有关的事件的观点。
在本篇博文中,我们分享了对新 Mint Sandstorm 间谍技术的分析,并提供了检测、追踪和保护信息。组织还可以使用本篇博文中包含的缓解措施来加强其攻击面,以抵御此次和其他 Mint Sandstorm 活动中观察到的间谍技术。这些缓解措施是高价值措施,是保护组织免受多种威胁(包括 Mint Sandstorm)的有效方法,并且对任何组织都很有用,无论其威胁模型如何。
全新薄荷沙尘暴技能
微软在这次 Mint Sandstorm 活动中发现了新的策略、技术和程序 (TTP),特别是使用合法但被入侵的电子邮件帐户发送网络钓鱼诱饵、使用客户端 URL (curl) 命令连接到 Mint Sandstorm 的命令和控制 (C2) 服务器并下载恶意文件,以及投放新的自定义后门 MediaPl。
社会工程学
在这次活动中,Mint Sandstorm 伪装成知名人士,包括知名新闻机构的记者。在某些情况下,威胁行为者使用伪造的电子邮件地址,模仿他们试图冒充的记者的个人电子邮件帐户,并向目标发送无害电子邮件,要求他们对有关以色列-哈马斯战争的文章提出意见。在其他情况下,Mint Sandstorm 使用他们试图冒充的个人的合法但被入侵的电子邮件帐户。初始电子邮件不包含任何恶意内容。
这种伎俩,即在攻击活动的初始阶段冒充已知人员、使用高度定制的网络钓鱼诱饵以及使用完全无害的消息,很可能是为了在试图向目标发送恶意内容之前与目标建立融洽关系并建立一定程度的信任。此外,在这次攻击活动中观察到的子集中使用合法但被入侵的电子邮件帐户可能进一步增强了 Mint Sandstorm 的可信度,并可能在这次攻击活动的成功中发挥了一定作用。
送货
如果目标同意审查初始电子邮件中引用的文章或文档,Mint Sandstorm 就会发送一封包含恶意域链接的电子邮件。在此次活动中,后续消息将目标引导至_cloud-document-edit[.]onrender[.]com 等网站,该域托管一个 RAR 存档 ( .rar ) 文件,据称其中包含目标被要求审查的文档草稿。如果打开,这个.rar_文件会解压为一个同名的双扩展名文件 ( .pdf.lnk )。启动后, _.pdf.lnk文件会运行 curl 命令,从攻击者控制的__glitch[.]me_和_supabase[.]co_子域中检索一系列恶意文件。
微软观察到,在此次活动中,有多个文件被下载到目标设备上,尤其是几个_.vbs脚本。在几个例子中,微软观察到了_NirCmd的重命名版本,这是一个合法的命令行工具,允许用户在目标设备上执行许多操作,而无需显示用户界面。
持久性
在某些情况下,威胁行为者使用恶意文件_Persistence.vbs_来持久存在于目标环境中。运行时,Persistence.vbs_会将一个文件(通常名为_a.vbs)添加到_CurrentVersion\Run_注册表项中。在其他情况下,Mint Sandstorm 创建了一个计划任务,以访问攻击者控制的_supabase[.]co_域并下载_.txt_文件。
图 1. 在正在进行的 Mint Sandstorm 活动中观察到的通向后门的入侵链
收藏
在此次活动中观察到的活动表明,Mint Sandstorm 将目标设备中的活动写入一系列文本文件,特别是一个名为_documentLoger.txt 的文件。_
除了上面详述的活动之外,在某些情况下,Mint Sandstorm 还放弃了 MischiefTut 或 MediaPl 自定义后门。
MediaPl 后门
MediaPl 是一个自定义后门,能够向其 C2 服务器发送加密通信。MediaPl 被配置为伪装成 Windows Media Player,后者是一个用于存储和播放音频和视频文件的应用程序。为此,Mint Sandstorm 通常将此文件放在_C:\Users\[REDACTED] \AppData\Local\Microsoft\Media Player\MediaPl.dll_中。当使用作为参数提供的图像文件路径运行 MediaPl.dll 时,它会在 Windows Photo 应用程序中启动该图像,并解析该图像以获取 C2 信息。与 MediaPl 的 C2 服务器之间的通信采用 AES CBC 加密和 Base64 编码。在撰写本文时,MediaPl 可以终止自身,可以暂停并重试与其 C2 服务器的通信,并使用 _popen 函数启动它从 C2 收到的命令。
恶作剧
MischiefTut是一个在 PowerShell 中实现的自定义后门,具有一组基本功能。MischiefTut 可以运行侦察命令、将输出写入文本文件,并表面上将输出发送回对手控制的基础设施。MischiefTut 还可用于在受感染的系统上下载其他工具。
Indicators of compromise
Organizations who fit the targeting model discussed in this report can hunt for the following indicators of compromise in their environments.
Domains
- east-healthy-dress[.]glitch[.]me
- coral-polydactyl-dragonfruit[.]glitch[.]me
- kwhfibejjyxregxmnpcs[.]supabase[.]co
- epibvgvoszemkwjnplyc[.]supabase[.]co
- ndrrftqrlblfecpupppp[.]supabase[.]co
- cloud-document-edit[.]onrender[.]com
Files
- MediaPl.dll (SHA-256: f2dec56acef275a0e987844e98afcc44bf8b83b4661e83f89c6a2a72c5811d5f)
Advanced hunting
Microsoft Defender XDR
Curl command used to retrieve malicious files
Use this query to locate the curl command Mint Sandstorm used to pull down malicious files in this campaign.
DeviceProcessEvents<br><br>| where InitiatingProcessCommandLine has_all('id=',<br><br>'&Prog') and InitiatingProcessCommandLine has_any('vbs', '--ssl') |
Creation of log files
Use this query to identify files created by Mint Sandstorm, ostensibly for exfiltration.
DeviceProcessEvents<br><br>| where InitiatingProcessCommandLine has_all('powershell', '$pnt', 'Get-Content', 'gcm') and InitiatingProcessCommandLine has_any('documentLog', 'documentLoger', 'Logdocument') |
Files with double file name extensions
Use this query to find files with double extension, e.g., .pdf.lnk.
DeviceFileEvents<br><br>| where FileName endswith ".pdf.lnk" |
Registry keys with VBScript
Use this query to find registry run keys entry with VBScript in value
DeviceRegistryEvents<br><br>| where ActionType == "RegistryValueSet" or ActionType == "RegistryKeyCreated"<br><br>| where RegistryKey endswith @"\Software\Microsoft\Windows\CurrentVersion\Run" or<br><br>RegistryKey endswith @"\Software\Microsoft\Windows\CurrentVersion\RunOnce" or<br><br>RegistryKey endswith @"\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"<br><br>| where RegistryValueData has_any ("vbscript",".vbs") |
