A Microsoft afirma que um grupo de ameaças apoiado pelo Irã tem como alvo milhares de organizações nos EUA e no mundo inteiro em ataques de pulverização de senhas desde fevereiro de 2023.
Os hackers do estado também roubaram informações sensíveis de um número limitado de vítimas nos setores de defesa, satélite e farmacêutico.
Rastreado como APT33 (também conhecido como Peach Sandstorm, HOLMIUM ou Refined Kitten), o grupo de ciberespionagem tem estado ativo desde pelo menos 2013, atacando entidades de vários segmentos industriais (incluindo governo, defesa, pesquisa, finanças e engenharia) nos Estados Unidos, Arábia Saudita e Coreia do Sul.
"Entre fevereiro e julho de 2023, Peach Sandstorm realizou uma onda de ataques de spray de senhas, tentando autenticar-se em milhares de ambientes", disse a equipe de Inteligência de Ameaças da Microsoft.
"Ao longo de 2023, Peach Sandstorm demonstrou consistentemente interesse em organizações dos EUA e de outros países nos setores de satélite, defesa e, em menor grau, farmacêutico", disse Sherrod DeGrippo, Diretor de Estratégia de Inteligência de Ameaças da Microsoft à BleepingComputer.
Em ataques de spray de senhas, os atores de ameaças tentam fazer login em várias contas usando uma única senha ou uma lista de senhas comumente usadas.
Essa tática difere dos ataques de força bruta, onde uma única conta é alvo de uma longa lista de senhas.
A pulverização de senhas permite aos atacantes aumentar significativamente suas chances de sucesso, ao mesmo tempo em que reduz o risco de acionar bloqueios automáticos de conta.
Em contraste com a pulverização barulhenta de senhas, os atacantes também usaram exploits direcionados a dispositivos Confluence e ManageEngine não corrigidos expostos online para violar as redes dos alvos.
Após tentativas bem-sucedidas, os hackers do APT33 usaram os frameworks de segurança de código aberto AzureHound ou Roadtools para reconhecimento em todo o Active Directory Azure das vítimas e para colher dados de seus ambientes de nuvem.
Eles também usaram credenciais Azure comprometidas, criaram novas assinaturas Azure nos inquilinos das vítimas ou abusaram do Azure Arc para fins de persistência para controlar dispositivos locais na rede das vítimas.
Os atores do APT33 também foram observados usando técnicas de ataque Golden SAML para movimentação lateral, implantando AnyDesk para persistência, carregando maliciosamente DLLs personalizadas para executar payloads maliciosos e empregando uma ferramenta de tunelamento conhecida como EagleRelay para tunelar tráfego malicioso para sua infraestrutura de comando e controle (C2).
"Com base no perfil das organizações vítimas alvo e na atividade de intrusão observada posteriormente, a Microsoft avalia que esta campanha de acesso inicial é provavelmente usada para facilitar a coleta de inteligência em apoio aos interesses do estado iraniano", disse Redmond.
"Muitas das táticas, técnicas e procedimentos (TTPs) baseados em nuvem vistos nessas campanhas mais recentes são materialmente mais sofisticados do que as capacidades usadas por Peach Sandstorm no passado", acrescentou a empresa.
Como disse Alex Weinert, diretor de segurança de identidade da Microsoft, três anos atrás, os ataques de pulverização de senhas estão entre os ataques de autenticação mais populares, representando mais de um terço das violações de contas empresariais.
Em julho de 2021, a NSA disse que o grupo de hacking militar russo APT28 mirou o governo dos EUA e agências do Departamento de Defesa em ataques de pulverização de senhas lançados a partir de clusters Kubernetes.
Meses depois, em outubro de 2021, a Microsoft também identificou os grupos DEV-0343 vinculados ao Irã e Nobelium patrocinados pela Rússia, violando empresas de tecnologia de defesa e provedores de serviços gerenciados (MSPs) em ataques de pulverização de senhas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...