Новости Восточные сказки: Peach Sandstorm и искусство цифровой разведки

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Иранские хакеры бросают песок в глаза стратегическим организациям по всему миру.


qnh22po36xrkr895a4ycjjoyap2w8xyg.jpg


Исследователи Microsoft Для просмотра ссылки Войди или Зарегистрируйся с использованием особого метода подбора паролей, проведённую группой APT33, также известной под названиями Peach Sandstorm, Holmium, Elfin и Magic Hound. Основные цели — организации в сфере космической промышленности, обороны и фармацевтики.

Группа APT33 известна с 2013 года. Изначально она нацеливалась на авиационную промышленность и энергетические компании, связанные с производством нефтехимической продукции. Подавляющее большинство жертв находилось на Ближнем Востоке, но также отмечались инциденты в США, Южной Корее и Европе.

С февраля по июль 2023 хакеры атаковали тысячи организаций по всему миру. «По оценкам Microsoft, начальный этап получения доступа вероятно используется для сбора разведывательной информации в интересах Ирана», — говорится в опубликованном отчете.

Для атак выбрали метод «распыления паролей», при котором одна и та же комбинация применяется к большому числу учетных записей. Такой подход позволяет избегать автоматической блокировки аккаунтов, которая обычно срабатывает при множественных неудачных попытках ввода пароля. После успешной аутентификации злоумышленники использовали различные инструменты для поиска ценной информации внутри скомпрометированных систем.

Ключевая особенность кампании заключалась в использовании анонимизированных TOR IP-адресов и специфического пользовательского агента «go-http-client», что усложняло идентификацию и преследование преступников.

Хакеры применили инструменты AzureHound и Roadtools для разведки в Microsoft Entra ID (бывший Azure Active Directory).

На скомпрометированное устройство устанавливали клиент Azure Arc и подключали его к подписке Azure, контролируемой Peach Sandstorm. С помощью Azure Arc можно мониторить устройства в локальной сети организации из своего облака.

Группа также пыталась эксплуатировать уязвимости в продуктах Zoho ManageEngine ( Для просмотра ссылки Войди или Зарегистрируйся ) и Atlassian Confluence ( Для просмотра ссылки Войди или Зарегистрируйся ) для доступа к системам.
 
Источник новости
www.securitylab.ru