Търсене
Close this search box.

Microsoft: Кибератаките „Peach Sandstorm“ са насочени към отбранителни и фармацевтични организации

Microsoft предупреждава, че глобална кампания за кибершпионаж, провеждана от иранския национален извършител, известен като Peach Sandstorm (известен още като Holmium), успешно е набелязала цели в сателитния, отбранителния и фармацевтичния сектор.

Според публикация в блога на Microsoft Threat Intelligence кибернетичната офанзива е активна от февруари насам, като в заключение се посочва, че кампанията е използвала масирани атаки с пръскане на пароли между февруари и юли, за да се автентикира в хиляди среди и да ексфилтрира данни, като всичко това е било в подкрепа на интересите на иранската държава.

Методът на атака с пръскане на пароли е вид метод на груба сила, използван от хакерите за получаване на неоторизиран достъп до потребителски акаунти и системи. Методът „пръскане на пароли“ включва опити за достъп до множество акаунти с помощта на общи пароли, което намалява риска от блокиране на акаунти.

Незабележима кампания за кибершпионаж от Иран

След като целта е била компрометирана, напредналата постоянна заплаха (APT) е използвала комбинация от публично достъпни и персонализирани инструменти за дейности, включващи разузнаване, постоянство и странично придвижване.

„Много от облачно базираните тактики, техники и процедури (ТТП), наблюдавани в последните кампании, са значително по-усъвършенствани от възможностите, използвани от Peach Sandstorm в миналото“, се обяснява в доклада.

Нападателите, които са извършвали атаките от Tor IP адреси и са използвали потребителски агент „go-http-client“, са извършвали разузнаване, използвайки инструменти като AzureHound и Roadtools, използвайки ресурсите на Azure за постоянство.

„В по-късните етапи на известните компромати участникът в заплахата е използвал различни комбинации от набор от известни TTP, за да пусне допълнителни инструменти, да се придвижи странично и в крайна сметка да ексфилтрира данни от целта“, продължава докладът.

Допълнителен метод за атака е под формата на отдалечена експлоатация на уязвими приложения, при който Peach Sandstorm се опитва да използва известни уязвимости за отдалечено изпълнение на код (RCE) в Zoho ManageEngine (CVE-2022-47966) и Atlas Confluence (CVE-2022-26134), за да получи първоначален достъп. И двата бъга са популярни сред APT от всякакъв тип.

При дейностите след компрометирането Peach Sandstorm използва различни тактики, като например внедряване на AnyDesk за отдалечено наблюдение и управление, провеждане на атаки Golden SAML за заобикаляне на удостоверяването, превземане на DLL поръчки за търсене и използване на персонализирани инструменти като EagleRelay за тунелиране на трафика.

В доклада се допълва, че кампанията е особено тревожна, защото Peach Sandstorm е използвала легитимни пълномощия, потвърдени чрез атаки с пръскане на пароли, за да създаде незабелязано нови абонаменти за Azure в целевите среди и е използвала Azure Arc за поддържане на контрол върху компрометираните мрежи.

Нулиране на пароли и отнемане на бисквитките на сесиите в защита

„Тъй като Peach Sandstorm все повече разработва и използва нови възможности, организациите трябва да разработят съответните защити, за да укрепят повърхностите си за атаки и да повишат разходите за тези атаки“, се отбелязва в доклада.

За да се защитят от действията на Peach Sandstorm, Microsoft съветва организациите да нулират паролите, да отменят бисквитките на сесиите и да засилят многофакторното удостоверяване (MFA).

Компанията също така препоръча да се поддържа силна хигиена на удостоверенията и да се следи за рискове, свързани с идентичността.

Преминаването към методи за удостоверяване без парола и осигуряването на крайни точки с MFA също може да намали рисковете, а защитата на Active Directory FS сървърите е от решаващо значение за предпазване от Golden SAML атаки.

Роджър Граймс, специалист – могул по защита, базирана на данни, в KnowBe4, обяснява, че атаките с пръскане на пароли не работят, когато потребителите използват уникални, силни, пароли за всеки сайт и услуга или многофакторно удостоверяване.

Но „повечето сайтове и услуги не приемат многофункционално удостоверяване на самоличността, поне все още не“, добавя той. „Ето защо всеки потребител трябва да използва добър мениджър на пароли.“

Иранските хакери са постоянна заплаха

Според Службата за контрол на чуждестранните активи (OFAC) към Министерството на финансите на САЩ, която предприе действия за налагане на санкции на иранското правителство за дейностите му в областта на киберпрестъпността, иранските хакери комбинират офанзивни мрежови операции с изпращане на съобщения и усилване на информацията, за да манипулират възприятията и поведението на целите.

Миналата седмица киберкомандването на САЩ разкри, че ирански спонсорирани от държавата  заплахи са експлоатирали американска авиоорганизация, отново използвайки дефекта ManageEngine.

През юни беше установено, че групата APT35 (известна още като Charming Kitten) е добавила възможности за задна врата към своите spear-phishing товари – и е насочила атаката си към израелски репортер.

Неотдавнашната атака на група за заплахи, наричаща себе си Holy Souls (Свети души), при която групата получи достъп до база данни, принадлежаща на сатиричното френско списание Charlie Hebdo, и заплаши, че ще разкрие информация за повече от 200 000 абонати, е дело на иранския държавен фактор Neptunium, съобщи Microsoft през февруари.

Източник: DARKReading

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!