Resim: Midjourney
Microsoft, İran destekli bir tehdit grubunun Şubat 2023'ten bu yana ABD ve dünya çapında şifre sprey saldırılarında binlerce kuruluşu hedef aldığını söyledi.
Devlet bilgisayar korsanları ayrıca savunma, uydu ve ilaç sektörlerindeki sınırlı sayıda kurbandan hassas bilgiler çaldı.
APT33 (AKA Şeftali Sandstorm, Holmium veya Rafine Yavru Kedi) olarak izlenen siber-ihale grubu, en azından 2013'ten beri aktif, Birleşik Devlette Hükümet, Savunma, Araştırma, Finans ve Mühendislik dahil) varlıklarına saldırıyor. Devletler, Suudi Arabistan ve Güney Kore.
Microsoft Tehdit İstihbarat Ekibi, "Şubat ve Temmuz 2023 arasında, Peach Sandstorm binlerce ortama kimlik doğrulaması yapmaya çalışan bir şifre sprey saldırıları dalgası gerçekleştirdi." Dedi.
Microsoft'un Sherrod DeGrippo Tehdit Zeka Stratejisi Direktörü BleepingComputer'a, "2023 boyunca Peach Sandstorm, uydu, savunma ve daha az ölçüde ilaç sektörlerindeki ABD ve diğer ülkelerin organizasyonlarına sürekli olarak ilgi gösterdi." Dedi.
Parola sprey saldırılarında, tehdit aktörleri tek bir şifre veya yaygın olarak kullanılan şifrelerin listesi kullanarak birçok hesapta oturum açmaya çalışır.
Bu taktik, uzun bir parola listesi ile tek bir hesabın hedeflendiği kaba kuvvet saldırılarından farklıdır. Parola püskürtme, saldırganların otomatik hesap kilitlemelerini tetikleme riskini azaltırken başarı şanslarını önemli ölçüde artırmalarını sağlar.
Gürültülü şifre püskürtmesinin aksine, saldırganlar aynı zamanda hedeflerin ağlarını ihlal etmek için çevrimiçi olarak maruz kalan takılmamış izdip ve yönetimi hedefleyen istismarlar kullandılar.
Başarılı denemelerin ardından APT33 hackerları, kurbanların Azure Active Directory'deki keşif ve bulut ortamlarından veri hasat etmek için Azurehound veya Roadtools açık kaynaklı güvenlik çerçevelerini kullandı.
Ayrıca tehlikeye atılmış Azure kimlik bilgileri kullandılar, kurbanların kiracıları üzerinde yeni Azure abonelikleri oluşturdular veya kurbanların ağındaki şirket içi cihazları kontrol etmek için kalıcılık amacıyla Azure Arc'ı istismar ettiler.
APT33 aktörleri ayrıca yanal hareket için altın SAML saldırı teknikleri kullanılarak gözlemlendi, kalıcılık için Anydesk'i kullandı, kötü amaçlı yükleri yürütmek için özel kötü niyetli DLL'lerin yanına yükleniyor ve Eaglerelay olarak bilinen bir tünelleme aracı kullanılarak komut ve kontrol (C2'ye kötü niyetli trafik trafiğini tünel tüneline yönlendirdi. ) altyapı.
Redmond, "Hedeflenen kurban kuruluşlarının profiline ve gözlemlenen takip müdahalesi faaliyetine dayanarak Microsoft, bu ilk erişim kampanyasının muhtemelen İran devlet çıkarlarını desteklemek için istihbarat koleksiyonunu kolaylaştırmak için kullanıldığını değerlendiriyor." Dedi.
Şirket, "Bu en son kampanyalarda görülen bulut tabanlı taktikler, teknikler ve prosedürlerin (TTP'ler) çoğu, şeftali kum fırtınası tarafından geçmişte kullanılan yeteneklerden önemli ölçüde daha sofistike."
Microsoft'un Kimlik Güvenlik Direktörü Alex Weinert'in üç yıl önce söylediği gibi, şifre sprey saldırıları, kurumsal hesap uzlaşmasının üçte birinden fazlası olan en popüler kimlik doğrulama saldırıları arasında.
Temmuz 2021'de NSA, Rus APT28 Askeri Hacking Grubunun ABD hükümetini ve Savunma Bakanlığı ajanslarını Kubernetes kümelerinden başlatılan şifre sprey saldırılarında hedef aldığını söyledi.
Aylar sonra, Ekim 2021'de Microsoft ayrıca İran bağlantılı Dev-0343'ü ve Rus sponsorlu Nobelium gruplarını, şifre sprey saldırılarında savunma teknolojisi şirketlerini ve yönetilen servis sağlayıcıları (MSP'ler) ihlal eden gördü.
Microsoft: Kuzey Koreli bilgisayar korsanları Rus Govt, Savunma Orgs Hedef
Microsoft Edge, tablet dostu "Web Select" özelliğini kaybediyor
Windows 11 '' Temalar 'RCE Hatası Gett-Concept Sustay
Bu 34,99 $ Azure Sınav Hazırlık Paketi ile Bulut Bilişimine Başlayın
İran Apt33, ABD Cybercom Sorunları Uyarısı tarafından sömürülen görünüm kusuru
Kaynak: Bleeping Computer