Los actores del estado-nación iraní han estado realizando ataques de pulverización de contraseñas contra miles de organizaciones en todo el mundo entre febrero y julio de 2023, revelan nuevos hallazgos de Microsoft.
El gigante tecnológico, que sigue la actividad bajo el nombre Tormenta de arena de melocotón (anteriormente Holmium), dijo que el adversario persiguió a organizaciones en los sectores de satélites, defensa y farmacéutico para probablemente facilitar la recopilación de inteligencia en apoyo de los intereses estatales iraníes.
Si la autenticación de una cuenta tiene éxito, se ha observado que el actor de la amenaza utiliza una combinación de herramientas personalizadas y disponibles públicamente para el descubrimiento, la persistencia y el movimiento lateral, seguido de la exfiltración de datos en casos limitados.
Peach Sandstorm, también conocido con los nombres APT33, Elfin y Refined Kitten, ha sido vinculado con ataques de phishing contra sectores aeroespacial y energético en el pasado, algunos de los cuales han implicado el uso del CAMBIO DE FORMA malware de limpieza. Se dice que está activo desde al menos 2013.
“En la fase inicial de esta campaña, Peach Sandstorm llevó a cabo campañas de pulverización de contraseñas contra miles de organizaciones en varios sectores y geografías”, dijo el equipo de Microsoft Threat Intelligence. dichoseñalando que parte de la actividad es oportunista.
La pulverización de contraseñas se refiere a una técnica en la que un actor malintencionado intenta autenticarse en muchas cuentas diferentes utilizando una única contraseña o una lista de contraseñas de uso común. Es diferente de los ataques de fuerza bruta en los que una sola cuenta es atacada con muchas combinaciones de credenciales.
“La actividad observada en esta campaña se alineó con un patrón de vida iraní, particularmente a finales de mayo y junio, donde la actividad ocurrió casi exclusivamente entre las 9:00 a. m. y las 5:00 p. m., hora estándar de Irán (IRST)”, agregó Microsoft.
Las intrusiones se caracterizan por el uso de herramientas del equipo rojo de código abierto, como Perro Azurun binario de Golang para realizar reconocimientos, y herramientas de carretera para acceder a datos en el entorno de nube de un objetivo. Los ataques se han observado además utilizando Arco Azul para establecer persistencia conectándose a una suscripción de Azure controlada por el actor de amenazas.
Las cadenas de ataques alternativas montadas por Peach Sandstorm han implicado la explotación de fallas de seguridad en Atlassian Confluence (CVE-2022-26134) o Zoho ManageEngine (CVE-2022-47966) para obtener acceso inicial.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Algunos otros aspectos notables de la actividad posterior al compromiso se refieren al despliegue de la herramienta de administración y monitoreo remoto AnyDesk para mantener el acceso, EagleRelay para canalizar el tráfico de regreso a su infraestructura y aprovechar SAML dorado ataque técnicas para movimientos laterales.
“Peach Sandstorm también creó nuevas suscripciones a Azure y aprovechó el acceso que estas suscripciones proporcionaban para realizar ataques adicionales en entornos de otras organizaciones”, dijo Microsoft.
“A medida que Peach Sandstorm desarrolla y utiliza cada vez más nuevas capacidades, las organizaciones deben desarrollar las defensas correspondientes para reforzar sus superficies de ataque y aumentar los costos de estos ataques”.