Microsoft afferma che un gruppo di hacker sostenuti dall'Iran sta prendendo di mira dipendenti di alto profilo di organizzazioni di ricerca e università in tutta Europa e negli Stati Uniti. Gli aggressori utilizzano attacchi di spearphishing che spingono nuovi malware backdoor. Si tratta di un sottogruppo degli hacker di spionaggio informatico APT35 (alias Charming Kitten e Phosphorus) collegato al Corpo delle Guardie rivoluzionarie islamiche (IRGC). Questi hanno inviato e-mail di phishing personalizzate e difficili da rilevare tramite account precedentemente compromessi. Come riportato sul sito ufficiale dell’azienda di Redmond: “Da novembre 2023, Microsoft ha osservato un sottoinsieme distinto di Mint Sandstorm (PHOSPHORUS) che prendeva di mira profili di alto profilo che lavoravano su affari mediorientali presso università e organizzazioni di ricerca in Belgio, Francia, Gaza, Israele, Regno Unito e Stati Uniti”. In alcuni casi, Microsoft ha osservato nuove tecniche post-intrusione incluso l'uso di una nuova backdoor personalizzata chiamata MediaPl.
Microsoft: come funziona l’attacco con il nuovo malware MediaPI
Il malware MediaPl utilizza canali di comunicazione crittografati per scambiare informazioni con il suo server di comando e controllo (C2). Inoltre, è progettato per mascherarsi da Windows Media Player per eludere il rilevamento. Le comunicazioni tra MediaPl e il suo server C2 utilizzano la crittografia AES CBC e la codifica Base64. La variante scoperta sui dispositivi compromessi include la possibilità di terminare automaticamente, interrompere temporaneamente, riprovare le comunicazioni C2 ed eseguire comandi C2 utilizzando la funzione“_popen”. Un secondo malware backdoor basato su PowerShell noto come MischiefTut aiuta a eliminare ulteriori strumenti dannosi. Inoltre, questo fornisce capacità di ricognizione, consentendo agli hacker di eseguire comandi sui sistemi compromessi e inviare l'output ai server controllati dagli aggressori.
Questo sottoinsieme APT35 si concentra sull'attacco e sul furto di dati sensibili dai sistemi violati di obiettivi di alto valore. È noto per aver preso di mira in precedenza individui con conoscenza su questioni di sicurezza e politiche in linea con gli interessi iraniani. Come ricorda ancora Microsoft: “Questi individui, che lavorano o hanno il potenziale per influenzare le comunità politiche e di intelligence, sono obiettivi attraenti per gli avversari che cercano di raccogliere informazioni per gli stati che sponsorizzano la loro attività, come la Repubblica islamica dell'Iran”. L’azienda di Redmond sospetta infine che questa campagna sia un tentativo di raccogliere informazioni sugli eventi legati alla guerra tra Israele e Hamas. Tra marzo 2021 e giugno 2022, APT35 ha creato backdoor su almeno 34 aziende. Questi hanno diffuso malware Sponsor precedentemente sconosciuti in una campagna che ha preso di mira organizzazioni governative, aziende dei servizi finanziari e di altri settori.