Microsoft’un yeni bulguları, İranlı ulus devlet aktörlerinin Şubat ve Temmuz 2023 arasında dünya çapında binlerce kuruluşa şifre sprey saldırıları düzenlediğini ortaya koyuyor.
Adı altında faaliyeti takip eden teknoloji devi Şeftali Kum Fırtınası (eski adıyla Holmium), düşmanın uydu, savunma ve ilaç sektörlerindeki örgütleri İran devletinin çıkarlarını destekleyecek şekilde istihbarat toplanmasını kolaylaştırmak için takip ettiğini söyledi.
Bir hesabın kimlik doğrulaması başarılı olursa, tehdit aktörü, keşif, kalıcılık ve yatay hareket için kamuya açık ve özel araçların bir kombinasyonu kullanılarak ve ardından sınırlı durumlarda veri sızdırma yoluyla gözlemlenmiştir.
APT33, Elfin ve Refined Kitten adlarıyla da bilinen Peach Sandstorm, geçmişte havacılık ve enerji sektörlerine yönelik hedef odaklı kimlik avı saldırılarıyla ilişkilendirilmişti. ŞEKİL DEĞİŞİMİ kötü amaçlı yazılım silici. En az 2013’ten beri aktif olduğu söyleniyor.
Microsoft Tehdit İstihbaratı ekibi, “Bu kampanyanın ilk aşamasında Peach Sandstorm, çeşitli sektör ve coğrafyalardaki binlerce kuruluşa karşı şifre sprey kampanyaları yürüttü.” söz konusufaaliyetlerin bir kısmının fırsatçı olduğuna dikkat çekiyor.
Parola püskürtme, kötü niyetli bir kişinin tek bir parola veya yaygın olarak kullanılan parolaların bir listesini kullanarak birçok farklı hesapta kimlik doğrulaması yapmaya çalıştığı bir tekniği ifade eder. Tek bir hesabın birçok kimlik bilgisi kombinasyonuyla hedeflendiği kaba kuvvet saldırılarından farklıdır.
Microsoft ayrıca şunları ekledi: “Bu kampanyada gözlenen etkinlik, özellikle mayıs ayı sonlarında ve haziran aylarında İran’daki yaşam biçimiyle uyumluydu; etkinlik neredeyse yalnızca İran Standart Saati (IRST) ile 09:00 ile 17:00 arasında gerçekleşti.”
İzinsiz girişler, aşağıdakiler gibi açık kaynaklı kırmızı takım araçlarının kullanılmasıyla karakterize edilir: AzureHoundkeşif yapmak için bir Golang ikili programı ve ROADaraçları hedefin bulut ortamındaki verilere erişmek için. Saldırılar ayrıca kullanılarak gözlemlendi Azure Ark Tehdit aktörü tarafından kontrol edilen bir Azure aboneliğine bağlanarak kalıcılık oluşturmak.
Peach Sandstorm tarafından oluşturulan alternatif saldırı zincirleri, ilk erişim elde etmek için Atlassian Confluence (CVE-2022-26134) veya Zoho ManageEngine’deki (CVE-2022-47966) güvenlik açıklarından yararlanılmasını gerektirdi.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Uzlaşma sonrası faaliyetin diğer bazı dikkate değer yönleri, erişimi sürdürmek için AnyDesk uzaktan izleme ve yönetim aracının konuşlandırılması, trafiği altyapılarına geri döndürmek için EagleRelay ve bunlardan yararlanılmasıyla ilgilidir. Altın SAML saldırı teknikleri yanal hareket için.
Microsoft, “Peach Sandstorm ayrıca yeni Azure abonelikleri oluşturdu ve diğer kuruluşların ortamlarında ek saldırılar gerçekleştirmek için bu aboneliklerin sağladığı erişimden yararlandı” dedi.
“Peach Sandstorm yeni yetenekleri giderek daha fazla geliştirip kullandıkça, kuruluşların saldırı yüzeylerini güçlendirmek ve bu saldırıların maliyetlerini artırmak için ilgili savunmaları geliştirmesi gerekiyor.”
