O grupo de hackers apoiado pelo governo iraniano, conhecido como APT 33, está ativo há mais de 10 anos, realizando operações agressivas de espionagem contra uma variedade diversificada de vítimas dos setores público e privado ao redor do mundo, incluindo alvos de infraestrutura crítica.
Embora o grupo seja particularmente conhecido por ataques estratégicos, mas tecnicamente simples, como o "password spraying", ele também se aventurou no desenvolvimento de ferramentas de hacking mais sofisticadas, incluindo malware potencialmente destrutivo feito para interromper sistemas de controle industrial.
Agora, descobertas da Microsoft, divulgadas na quarta-feira(10), indicam que o grupo continua evoluindo suas técnicas com um novo backdoor multietapa.
A Microsoft Threat Intelligence diz que o grupo, ao qual chama Peach Sandstorm, desenvolveu malware personalizado que os atacantes podem usar para estabelecer acesso remoto às redes das vítimas.
O backdoor, que a Microsoft nomeou "Tickler" por alguma razão, infecta um alvo depois que o grupo de hackers ganha acesso inicial via password spraying ou engenharia social.
Começando em abril e tão recentemente quanto em julho, os pesquisadores observaram Peach Sandstorm implantando o backdoor contra vítimas em setores incluindo satélite, equipamentos de comunicação e petróleo e gás.
A Microsoft também diz que o grupo usou o malware para visar entidades governamentais federais e estaduais nos Estados Unidos e nos Emirados Árabes Unidos.
"O malware Tickler não é necessariamente um grande avanço nas táticas, técnicas e procedimentos para este ator de ameaça, mas representa um foco claro e ativo no desenvolvimento com base em ação em objetivos", disse Sherrod DeGrippo, diretor de inteligência de ameaças da Microsoft, em uma declaração.
Os pesquisadores observaram Peach Sandstorm implantando o Tickler e, em seguida, manipulando a infraestrutura de cloud Azure da vítima usando as assinaturas Azure dos hackers para obter controle total dos sistemas alvo.
A Microsoft diz que notificou os clientes que foram impactados pelo direcionamento.
O grupo também continuou seus ataques de password spraying de baixa tecnologia, de acordo com a Microsoft, nos quais os hackers tentam acessar muitas contas-alvo, adivinhando senhas vazadas ou comuns até que uma delas permita a entrada.
Peach Sandstorm tem usado essa técnica para ganhar acesso a sistemas-alvo tanto para infectá-los com o backdoor Tickler quanto para outros tipos de operações de espionagem.
Desde fevereiro de 2023, os pesquisadores dizem ter observado os hackers “realizando atividade de password spray contra milhares de organizações”.
E em abril e maio de 2024, a Microsoft observou Peach Sandstorm usando password spraying para visar organizações dos Estados Unidos e da Austrália nos setores de espaço, defesa, governo e educação.
"Peach Sandstorm também continuou realizando ataques de password spray contra o setor educacional para aquisição de infraestrutura e contra os setores de satélite, governo e defesa como alvos principais para coleta de inteligência", escreveu a Microsoft.
Os pesquisadores dizem que, além dessa atividade, o grupo continuou suas operações de engenharia social na rede social profissional LinkedIn, de propriedade da Microsoft, as quais datam pelo menos de novembro de 2021 e continuaram até meados de 2024.
A Microsoft observou o grupo configurando perfis no LinkedIn que supostamente são de estudantes, desenvolvedores de software e gerentes de aquisição de talentos com base nos EUA e na Europa Ocidental.
"Peach Sandstorm usou [essas contas] principalmente para realizar coleta de inteligência e possíveis operações de engenharia social contra o setor de educação superior, setores de satélite e indústrias relacionadas", escreveu a Microsoft.
As contas do LinkedIn identificadas foram posteriormente retiradas.
DeGrippo, da Microsoft, destaca que, embora as novas campanhas sejam notáveis, Peach Sandstorm já havia mirado na indústria de satélites antes.
"Esta não é a primeira vez que Peach Sandstorm mostrou interesse em alvos relacionados a satélites.
Este ator de ameaça havia [anteriormente] perseguido organizações nos setores de satélite, defesa e farmacêutico ao redor do mundo", diz DeGrippo.
Este backdoor é um malware personalizado com várias iterações.
Mostra um foco e comprometimento em usar malware para objetivos específicos.
Hackers iranianos têm sido prolíficos e agressivos no palco internacional por anos e não mostram sinais de desaceleração.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...