Atores Estatais Iranianos Empregam Ataques de Pulverização de Senhas Visando Múltiplos Setores
18 de Setembro de 2023

Atuantes do estado-nacional iraniano têm realizado ataques de pulverização de senhas contra milhares de empresas globalmente entre fevereiro e julho de 2023, revelam novas descobertas da Microsoft.

A gigante da tecnologia, que está rastreando a atividade sob o nome Peach Sandstorm (anteriormente Holmium), disse que o adversário visou organizações nos setores de satélite, defesa e farmacêutico, provavelmente para facilitar a coleta de inteligência em apoio aos interesses estatais iranianos.

Caso a autenticação em uma conta seja bem-sucedida, o ator da ameaça foi observado usando uma combinação de ferramentas publicamente disponíveis e personalizadas para descoberta, persistência e movimento lateral, seguido de exfiltração de dados em casos limitados.

Peach Sandstorm, também conhecido pelos nomes APT33, Elfin e Refined Kitten, tem sido associado a ataques de spear-phishing contra os setores aeroespacial e de energia no passado, alguns dos quais envolveram o uso do malware de limpeza SHAPESHIFT.

Diz-se que esta ativo desde pelo menos 2013.

"Na fase inicial desta campanha, Peach Sandstorm realizou campanhas de pulverização de senhas contra milhares de organizações em vários setores e geografias", disse a equipe de Inteligência de Ameaças da Microsoft, observando que alguma atividade é oportunística.

Spray de senha refere-se a uma técnica em que um ator mal-intencionado tenta autenticar em muitas contas diferentes usando uma única senha ou uma lista de senhas comumente usadas.

Difere dos ataques de força bruta, nos quais uma única conta é alvo de muitas combinações de credenciais.

"A atividade observada nesta campanha está alinhada com um padrão de vida iraniano, particularmente no final de maio e junho, onde a atividade ocorreu quase exclusivamente entre 9h00 e 17h00, horário padrão do Irã (IRST)", acrescentou a Microsoft.

As invasões são caracterizadas pelo uso de ferramentas de equipe vermelha de código aberto, como AzureHound, um binário Golang para conduzir o reconhecimento, e ROADtools para acessar dados em um ambiente de nuvem do alvo.

Além disso, os ataques foram observados usando Azure Arc para estabelecer persistência, conectando-se a uma assinatura Azure controlada pelo ator da ameaça.

Cadeias de ataque alternativas montadas pelo Peach Sandstorm envolveram a exploração de falhas de segurança no Atlassian Confluence ( CVE-2022-26134 ) ou Zoho ManageEngine ( CVE-2022-47966 ) para obter acesso inicial.

Alguns outros aspectos notáveis da atividade pós-compromisso envolvem o uso do AnyDesk para manter acesso, do EagleRelay para tunelar o tráfego de volta para sua infraestrutura, e uso das técnicas de ataque Golden SAML para movimento lateral.

"Peach Sandstorm também criou novas assinaturas Azure e usou o acesso que estas assinaturas forneceram para realizar ataques adicionais em outros ambientes de organizações", disse a Microsoft.
"Como Peach Sandstorm desenvolve e utiliza novas capacidades cada vez mais, as organizações devem desenvolver defesas correspondentes para endurecer suas superfícies de ataque e aumentar os custos desses ataques."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...