伊朗APT组织利用密码喷洒攻击数千人

xcisme

伊朗APT组织利用密码喷洒攻击数千人

原创 紫队 [url=]紫队安全研究[/url]

微软透露，伊朗政府支持的 APT 组织在六个月内对全球数千个目标发动了“一波”网络间谍攻击。

名为 Peach Sandstorm（又名 APT33、Elfin 和Refined Kitten）的组织在 2023 年 2 月至 7 月期间使用了密码喷洒技术。这是一种暴力破解技术，威胁行为者尝试使用常用密码列表对多个帐户进行身份验证。

微软声称，尽管这些喧闹的活动袭击了多个行业和地区的数千个组织，但后续活动更加“隐秘和复杂”。

它解释说：“最近的这些活动中看到的许多基于云的战术、技术和程序 (TTP) 比过去 Peach Sandstorm 使用的功能更为复杂。”

“在已知攻击的后期阶段，威胁行为者使用了一组已知 TTP 的不同组合来投放其他工具、横向移动，并最终从目标中窃取数据。”

阅读有关伊朗威胁组织的更多信息：伊朗鱼叉式网络钓鱼者在新活动中劫持电子邮件对话

报告称，一小部分受感染受害者的系统数据被盗。目前尚不清楚这些组织是什么类型，但微软表示，APT33 对卫星、国防和制药行业特别感兴趣。

该组织使用 AzureHound 和Roadtools 在 Microsoft Entra ID（以前称为 Azure Active Directory）环境中进行侦察，并部署了包括使用 Azure Arc 在内的多种持久性机制。

微软解释说，该工具允许用户“在任何地方保护、开发和操作基础设施、应用程序和 Azure 服务，以在受损环境中持续存在”。

在某些情况下，该组织避免使用密码喷洒，而是利用漏洞：具体来说，Zoho（CVE-2022-47966）和 Confluence（CVE-2022-26134）中的远程代码执行漏洞。

在一些入侵行动中，APT33 部署了商业远程监控和管理工具 AnyDesk 来维持对目标的访问。

微软声称，其最终目标是窃取符合伊朗国家利益的情报。

报告总结道：“此次活动中观察到的功能令人担忧，因为微软发现 Peach Sandstorm 使用合法凭证（从密码喷洒攻击中收集）对目标系统进行身份验证、驻留在目标环境中，并部署一系列工具来开展其他活动。 ”

“Peach Sandstorm 还创建了新的 Azure 订阅，并利用这些订阅提供的访问权限在其他组织的环境中发起更多攻击。虽然此活动的具体影响因威胁行为者的决策而异，但即使是初始访问也可能对特定环境的机密性产生不利影响。”