Organizações no setor da Base Industrial de Defesa (DIB) estão na mira de um ator de ameaça iraniano como parte de uma campanha projetada para entregar uma backdoor inédita chamada FalseFont.
Os resultados vêm da Microsoft, que está rastreando a atividade sob seu apelido temático de Peach Sandstorm (anteriormente Holmium), também conhecido como APT33, Elfin e Refined Kitten.
"FalseFont é uma backdoor personalizada com uma ampla gama de funcionalidades que permitem aos operadores acessar remotamente um sistema infectado, iniciar arquivos adicionais e enviar informações para seus servidores [de comando e controle]", disse a equipe de Inteligência de Ameaças da Microsoft em X (anteriormente Twitter).
O primeiro uso registrado do implante foi no início de novembro de 2023.
A gigante da tecnologia acrescentou ainda que o último desenvolvimento se alinha com a atividade anterior do Peach Sandstorm e demonstra uma contínua evolução do ofício do ator de ameaça.
Em um relatório publicado em setembro de 2023, a Microsoft vinculou o grupo a ataques de pulverização de senhas realizados contra milhares de organizações globalmente entre fevereiro e julho de 2023.
As invasões destacaram principalmente os setores de satélite, defesa e farmacêuticos.
O objetivo final, disse a empresa, é facilitar a coleta de inteligência em apoio aos interesses do estado iraniano.
Acredita-se que o Peach Sandstorm esteja ativo desde pelo menos 2013.
A revelação surge no momento em que a Diretoria Nacional de Cibersegurança de Israel (INCD) acusou o Irã e o Hezbollah de tentarem, sem sucesso, atacar o Hospital Ziv através de equipes de hackers chamadas Agrius e Lebanese Cedar.
A agência também revelou detalhes de uma campanha de phishing em que um aviso falso para uma falha de segurança nos produtos F5 BIG-IP é usado como um engodo para entregar malware de limpeza em sistemas Windows e Linux.
O isco para o ataque direcionado é uma vulnerabilidade crítica de autenticação bypass (
CVE-2023-46747
, pontuação CVSS: 9.8) que veio à luz no final de outubro de 2023.
A escala da campanha é atualmente desconhecida.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...