Η Microsoft αναφέρει ότι Ιρανοί hackers (APT33) έχουν στοχεύσει χιλιάδες οργανισμούς στις ΗΠΑ και παγκοσμίως στα πλαίσια password spraying επιθέσεων. Αυτές οι επιθέσεις έχουν αρχίσει από τον Φεβρουάριο του 2023.
Οι κρατικοί Ιρανοί hackers φαίνεται πως έχουν καταφέρει να κλέψουν ευαίσθητες πληροφορίες από περιορισμένο αριθμό θυμάτων στον αμυντικό, δορυφορικό και φαρμακευτικό τομέα.
Η ομάδα κυβερνοκατασκοπείας, γνωστή ως APT33 (ή Peach Sandstorm, HOLMIUM ή Refined Kitten), δραστηριοποιείται από το 2013 και επιτίθεται σε διάφορους κλάδους, συμπεριλαμβανομένων κυβερνητικών, αμυντικών, ερευνητικών, χρηματοδοτικών και μηχανικών οργανισμών στις Ηνωμένες Πολιτείες, τη Σαουδική Αραβία και τη Νότια Κορέα. Η ομάδα έχει εξελιχθεί σε μια από τις πλέον αναγνωρίσιμες hacking ομάδες και συνεχίζει τη δράση της με μεγάλη αποφασιστικότητα και επιδεξιότητα.
Δείτε επίσης: «ThemeBleed»: Το σφάλμα RCE των Windows 11 λαμβάνει PoC
“Μεταξύ Φεβρουαρίου και Ιουλίου 2023, η Peach Sandstorm πραγματοποίησε ένα κύμα password spraying επιθέσεων, προσπαθώντας να αποκτήσει πρόσβαση σε χιλιάδες περιβάλλοντα“, δήλωσε η ομάδα του Microsoft Threat Intelligence.
“Καθόλη τη διάρκεια του 2023, η Peach Sandstorm έχει δείξει σταθερά ενδιαφέρον για τους οργανισμούς των ΗΠΑ και άλλων χωρών στους τομείς των δορυφόρων, της άμυνας και, σε μικρότερο βαθμό, στον φαρμακευτικό τομέα“, δήλωσε στο BleepingComputer ο Sherrod DeGrippo, Threat Intelligence Strategy Director της Microsoft.
Στις επιθέσεις password spraying, οι εισβολείς προσπαθούν να αποκτήσουν πρόσβαση σε πολλούς λογαριασμούς χρησιμοποιώντας ένα μόνο password ή μια λίστα με κωδικούς πρόσβασης που χρησιμοποιούνται συνήθως. Οι password spraying επιθέσεις διαφέρουν από τις brute-force. Στη δεύτερη κατηγορία, στοχεύεται ένας μεμονωμένος λογαριασμός με μια μακρά λίστα κωδικών πρόσβασης. Όμως, οι password spraying επιθέσεις δίνουν στους εισβολείς τη δυνατότητα να αυξήσουν σημαντικά τις πιθανότητες επιτυχίας τους, ενώ μειώνει τον κίνδυνο αυτόματου κλειδώματος του λογαριασμού.
Σύμφωνα με τη Microsoft, όμως, οι Ιρανοί hackers χρησιμοποιούν, επίσης, exploits που στοχεύουν μη επιδιορθωμένα Confluence και ManageEngine appliances για να παραβιάσουν τα δίκτυα των στόχων.
Δείτε επίσης: Συνεχιζόμενη malvertising καμπάνια Webex διασπείρει το BatLoader
Μετά από επιτυχημένες προσπάθειες, οι APT33 hackers χρησιμοποιούσαν AzureHound ή Roadtools open-source security frameworks για reconnaissance στο Azure Active Directory των θυμάτων, για τη συλλογή δεδομένων από τα cloud περιβάλλοντα τους.
Χρησιμοποίησαν επίσης παραβιασμένα credentials Azure, δημιούργησαν νέα Azure subscriptions στα tenants των θυμάτων ή έκαναν κατάχρηση του Azure Arc για persistence, για τον έλεγχο των συσκευών στο δίκτυο των θυμάτων.
Τέλος, οι Ιρανοί hackers χρησιμοποιούσαν τεχνικές επίθεσης Golden SAML για lateral movement, χρησιμοποιώντας AnyDesk για persistence, κάνοντας sideloading προσαρμοσμένων κακόβουλων DLL για την εκτέλεση κακόβουλων payloads και χρησιμοποιώντας ένα tunneling tool γνωστό ως EagleRelay, για τη διοχέτευση κακόβουλου traffic στην υποδομή command-and-control (C2).
Παρατηρώντας τους στόχους και τον τρόπο επίθεσης, η Microsoft εκτιμά ότι αυτή η εκστρατεία πρόσβασης πιθανότατα χρησιμοποιείται για τη συλλογή πληροφοριών, για την υποστήριξη των ιρανικών κρατικών συμφερόντων.
“Πολλές από τις τακτικές, τεχνικές και διαδικασίες (TTP) που εμφανίζονται σε αυτές τις πιο πρόσφατες καμπάνιες είναι ουσιαστικά πιο εξελιγμένες από τις δυνατότητες που χρησιμοποιούσε η Peach Sandstorm στο παρελθόν“, πρόσθεσε η εταιρεία.
Δείτε επίσης: Ransomware: Ο Λευκός Οίκος παροτρύνει δεκάδες χώρες να δηλώσουν τη δέσμευσή τους να μην πληρώνουν λύτρα
Οι Ιρανοί hackers APT33 έχουν γίνει ιδιαίτερα δραστήριοι τα τελευταία χρόνια, με τις επιθέσεις password spraying να αυξάνουν την αποτελεσματικότητά τους. Είναι σαφές ότι αυτές οι επιθέσεις είναι πολύ πιο εξελιγμένες από τις προηγούμενες, υποδεικνύοντας μια συνεχή εξέλιξη και βελτίωση των δεξιοτήτων τους. Η ικανότητα των Ιρανών hackers να προσαρμόζονται και να εξελίσσονται σε αυτό το γρήγορα μεταβαλλόμενο ψηφιακό περιβάλλον είναι ανησυχητική, καθώς οι επιθέσεις τους γίνονται όλο και πιο επιτυχημένες και εκτεταμένες.
Πηγή: www.bleepingcomputer.com
 έχουν στοχεύσει χιλιάδες οργανισμούς στις ΗΠΑ και παγκοσμίως στα πλαίσια password spraying){kind=link}