Mint Sandstorm：与伊朗相关的钓鱼攻击者

主要要点

Mint Sandstorm 是一个与伊朗有关的威胁行为者，最近利用自订的钓鱼诱饵和一种新的后门工具 MediaPI 对高级目标发起攻击。此次攻击的目标涉及位于比利时、法国、加沙、以色列、英国和美国的大学与研究机构，尤其是专注于中东事务的个人。此行为者使用合法的、但已被攻陷的帐号进行钓鱼，并持续调整其工具以避开检测。政府机构和潜在的军事目标是Mint Sandstorm的主要用途，并可能对其他行业造成威胁。

Mint Sandstorm，通常被称为 APT35 或 APT42，最近被发现利用针对性钓鱼攻击来攻击高端目标，特别是那些在中东事务上有影响力的个人。根据微软威胁情报，这些攻击涉及位于比利时、法国、加沙、以色列、英国和美国的多所大学及研究组织。

微软的研究人员指出，Mint Sandstorm 使用合法但被妥协的帐号来发送钓鱼诱饵，并且这些行为者正持续改进和修改工具，使其在已被攻陷的环境中能够持续存在并更有效地避开检测。

“根据此次活动中观察到的目标身份以及与以色列哈马斯冲突相关的诱饵，这一活动可能旨在从意识形态范畴内的个人收集对于冲突事件的看法。” 微软研究人员说。

根据Ontinue的威胁应对负责人 Balazs Greksza 的解释，Mint Sandstorm 作为一个由国家支持的行为者，主要为政府机构和潜在军事目的服务。Greksza提到，该组织针对政府、非政府组织、私营企业和学术界进行间谍活动，通常伪装成媒体人员、政府官员或学术人士，以获取敏感信息。

“像 APT35 这样的行为者，其主要目的是围绕地缘政治、国家安全和对抗情报。” Greksza 说。 “正如不同情报机构过去所公开的，情报目标可能会根据国家利益、当前政治及军事领导层的需求迅速变动。”

Menlo Security 的网路安全专家 Ngoc Bui 补充道，自订后门 MediaPI 的使用，以及其它工具如 MischiefTut，显示出 Mint Sandstorm 在操作策略上的变化，标志著他们的网路间谍能力的演进。

Mint Sandstorm 的四大潜在威胁

跨行业渗透

虽然目前的重点在于中东问题的大学和研究机构，但这些团体的灵活性和高超技巧可能使他们转向其他行业，甚至包括关键基础设施、政府机构或企业等，特别是当他们的利益与支援国的地缘政治目标相符。

知识产权盗窃与间谍行为

clash meta

针对研究机构的攻击引发了对知识产权盗窃和间谍行为的重大担忧，这可能会使国家和组织失去竞争优势，并在某些情况下可能危及国家安全。

数位通信信任的侵蚀

利用妥协的合法账户及透过最初的非恶意沟通建立信任的策略，促成数位通信信任的广