O grupo de hacking iraniano APT33 tem utilizado o novo malware Tickler para criar backdoors nas redes de organizações dos setores governamental, de defesa, satélite, petróleo e gás nos Estados Unidos e nos Emirados Árabes Unidos.
Como observado por pesquisadores de segurança da Microsoft, o grupo de ameaças (também monitorado como Peach Sandstorm e Refined Kitten), que opera em nome do Corpo da Guarda Revolucionária Islâmica Iraniana (IRGC), utilizou esse novo malware como parte de uma campanha de coleta de inteligência entre abril e julho de 2024.
Durante esses ataques, os atores de ameaças aproveitaram a infraestrutura da Microsoft Azure para comando e controle (C2), utilizando assinaturas Azure fraudulentas e controladas pelo atacante, que a empresa desde então interrompeu.
O APT33 violou organizações alvo nos setores de defesa, espaço, educação e governamental após ataques bem-sucedidos de password spray entre abril e maio de 2024.
Nestes ataques, eles tentaram ganhar acesso a várias contas utilizando um pequeno número de senhas comumente usadas para evitar o acionamento de bloqueios de conta.
"Embora a atividade de password spray tenha aparecido de forma consistente em todos os setores, a Microsoft observou Peach Sandstorm aproveitando exclusivamente contas de usuários comprometidas no setor de educação para adquirir infraestrutura operacional.
Nestes casos, o ator de ameaça acessou assinaturas Azure existentes ou criou uma usando a conta comprometida para hospedar sua infraestrutura," disse a Microsoft.
A infraestrutura Azure que eles controlavam foi usada em operações subsequentes visando os setores governamental, de defesa e espacial.
"No último ano, Peach Sandstorm comprometeu com sucesso várias organizações, principalmente nos setores mencionados, utilizando ferramentas personalizadas," acrescentou a Microsoft.
O grupo de ameaças iraniano também usou essa tática em novembro de 2023 para comprometer as redes de contratantes de defesa em todo o mundo e implantar o malware backdoor FalseFont.
Em setembro, a Microsoft alertou sobre outra campanha do APT33 que tinha como alvo milhares de organizações em todo o mundo em extensos ataques de password spray desde fevereiro de 2023, levando a violações nos setores de defesa, satélite e farmacêutico.
A Microsoft anunciou que, a partir de 15 de outubro, a autenticação multi-fatores (MFA) será obrigatória para todas as tentativas de login no Azure para proteger as contas Azure contra tentativas de phishing e sequestro.
A empresa já constatou que a MFA permite que 99,99% das contas habilitadas para MFA resistam a tentativas de hacking e reduz o risco de comprometimento em 98,56%, mesmo quando os atacantes tentam violar contas usando credenciais previamente comprometidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...