イラン政府とつながりのあるハッカーが、スパイ活動の一環として衛星、防衛、製薬業界の数千の組織を標的にしていたことが、新たな調査で明らかになった。この攻撃の背後にあるハッキング・グループは、マイクロソフト社によってPeach Sandstormとして追跡され、標的とされた多くの組織に侵入し、データを盗むことに成功した。マイクロソフト社は、標的となった国を明らかにしていない。
最近のイラン関連の攻撃は、イスラエル、米国、ブラジル、アラブ首長国連邦が中心となっている。マイクロソフト社によると、2月から7月にかけて行われた新しいキャンペーンでは、Peach Sandstormは、一般に公開されているツールとカスタムツールを組み合わせて使用し、標的を混乱させ、「イランの国益を支援する」情報を収集したという。
被害者のアカウントに侵入するために、Peach Sandstormは、単一のパスワードまたは一般的に使用されているパスワードのリストを使用して、ターゲットデバイスへの不正アクセスを取得しようとする "パスワードスプレー "として知られているテクニックを使用しました。単純に聞こえるが、このテクニックによって攻撃者は成功の可能性を高め、自動アカウントロックアウトを引き起こすリスクを減らすことができる。Peach Sandstorm(以前はHolmiumとして追跡されていた)は、航空宇宙、防衛、化学、鉱業などの業界に対する攻撃を含む、以前の攻撃でもパスワードインジェクションを使用していた。
組織が標的を攻撃することに成功すると、その攻撃はより巧妙になる。例えば、マイクロソフトは、ハッカーが同社のAzureHoundとRoadtoolsツールを使用して、被害者のシステムから情報を収集し、ターゲットのクラウド環境のデータにアクセスし、関心のある特定のデータを単一のデータベースに転送していることに気づいている。
ハッキング組織は、漏洩したデバイスにAzure Arcクライアントをインストールし、それを自分たちのAzureサブスクリプションにリンクさせることで、ハッキングされたクラウドインフラストラクチャ内の標的のデバイスを制御できるようにした。また、ITサービス管理に使用されるZoho ManageEngineやチームコラボレーションツールのConfluenceなど、よく知られた脆弱性の悪用も試みました。さらに、標的へのアクセスを維持するために、商用リモート監視・管理ツールのAnyDeskも使用されました。
研究者はまた、ブラジル、イスラエル、アラブ首長国連邦の標的を攻撃するためにイランのハッカーによって使用されたと疑われる新しいバックドアツールを発見した。サイバーセキュリティ企業ESETによると、Ballistic BobcatまたはGlamour Kittenとして知られるハッキンググループは、2021年3月から2022年6月にかけてこのツールを展開し、少なくとも34人の被害者(そのほとんどがイスラエル)をターゲットにした。
マイクロソフトの最新レポートによると、イランの国家に支援されたハッカーは、従来のサイバー攻撃の影響を拡大し、イスラエルや米国でテヘランの政治的アジェンダを押し進めるために、影響力活動をますます利用するようになっているという。
ピーチ・サンドストームがますます発展し、新機能を使用するようになるにつれ、関係する組織は適切な防御策を開発し、攻撃対象領域を強化し、こうした攻撃のコストを増大させることが重要である。