Atuantes do estado-nacional iraniano têm realizado ataques de pulverização de senhas contra milhares de empresas globalmente entre fevereiro e julho de 2023, revelam novas descobertas da Microsoft.
A gigante da tecnologia, que está rastreando a atividade sob o nome Peach Sandstorm (anteriormente Holmium), disse que o adversário visou organizações nos setores de satélite, defesa e farmacêutico, provavelmente para facilitar a coleta de inteligência em apoio aos interesses estatais iranianos.
Caso a autenticação em uma conta seja bem-sucedida, o ator da ameaça foi observado usando uma combinação de ferramentas publicamente disponíveis e personalizadas para descoberta, persistência e movimento lateral, seguido de exfiltração de dados em casos limitados.
Peach Sandstorm, também conhecido pelos nomes APT33, Elfin e Refined Kitten, tem sido associado a ataques de spear-phishing contra os setores aeroespacial e de energia no passado, alguns dos quais envolveram o uso do malware de limpeza SHAPESHIFT.
Diz-se que esta ativo desde pelo menos 2013.
"Na fase inicial desta campanha, Peach Sandstorm realizou campanhas de pulverização de senhas contra milhares de organizações em vários setores e geografias", disse a equipe de Inteligência de Ameaças da Microsoft, observando que alguma atividade é oportunística.
Spray de senha refere-se a uma técnica em que um ator mal-intencionado tenta autenticar em muitas contas diferentes usando uma única senha ou uma lista de senhas comumente usadas.
Difere dos ataques de força bruta, nos quais uma única conta é alvo de muitas combinações de credenciais.
"A atividade observada nesta campanha está alinhada com um padrão de vida iraniano, particularmente no final de maio e junho, onde a atividade ocorreu quase exclusivamente entre 9h00 e 17h00, horário padrão do Irã (IRST)", acrescentou a Microsoft.
As invasões são caracterizadas pelo uso de ferramentas de equipe vermelha de código aberto, como AzureHound, um binário Golang para conduzir o reconhecimento, e ROADtools para acessar dados em um ambiente de nuvem do alvo.
Além disso, os ataques foram observados usando Azure Arc para estabelecer persistência, conectando-se a uma assinatura Azure controlada pelo ator da ameaça.
Cadeias de ataque alternativas montadas pelo Peach Sandstorm envolveram a exploração de falhas de segurança no Atlassian Confluence (
CVE-2022-26134
) ou Zoho ManageEngine (
CVE-2022-47966
) para obter acesso inicial.
Alguns outros aspectos notáveis da atividade pós-compromisso envolvem o uso do AnyDesk para manter acesso, do EagleRelay para tunelar o tráfego de volta para sua infraestrutura, e uso das técnicas de ataque Golden SAML para movimento lateral.
"Peach Sandstorm também criou novas assinaturas Azure e usou o acesso que estas assinaturas forneceram para realizar ataques adicionais em outros ambientes de organizações", disse a Microsoft.
"Como Peach Sandstorm desenvolve e utiliza novas capacidades cada vez mais, as organizações devem desenvolver defesas correspondentes para endurecer suas superfícies de ataque e aumentar os custos desses ataques."
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...