Хакеры, связанные с иранским правительством, атаковали тысячи организаций в спутниковой, оборонной и фармацевтической промышленности в рамках кампании шпионажа, показало новое исследование. Хакерская группа, стоящая за атакой, была отслежена Microsoft как Peach Sandstorm - группа, которой удалось проникнуть в ряд организаций и украсть их данные. Microsoft не сообщила, какие страны были выбраны в качестве мишени.
В последнее время атаки, связанные с Ираном, были направлены на Израиль, Соединенные Штаты, Бразилию и Объединенные Арабские Эмираты. В своей новой кампании, которая длилась с февраля по июль, Peach Sandstorm использовала комбинацию общедоступных и специальных инструментов для разрушения целей и сбора разведданных "в поддержку национальных интересов Ирана", говорится в сообщении Microsoft.
Для того чтобы проникнуть в аккаунт жертвы, Peach Sandstorm использовали технику, известную как "распыление паролей", когда они пытались получить несанкционированный доступ к целевому устройству, используя один пароль или список часто используемых паролей. Несмотря на простоту, эта техника позволяет злоумышленникам увеличить шансы на успех и снизить риск срабатывания автоматической блокировки учетной записи.Peach Sandstorm (ранее отслеживавшаяся как Holmium) также использовала введение паролей в предыдущих атаках, в том числе на такие отрасли, как аэрокосмическая, оборонная, химическая и горнодобывающая.
Когда организации удается атаковать цель, ее атаки становятся более изощренными. Например, Microsoft заметила, что хакеры используют инструменты AzureHound и Roadtools компании для сбора информации из системы жертвы, доступа к данным в облачной среде и передачи интересующих их данных в единую базу.
Хакеры установили клиент Azure Arc на взломанное устройство и связали его с собственной подпиской Azure, что позволило им получить контроль над целевым устройством во взломанной облачной инфраструктуре. Они также пытались использовать известные уязвимости, например, в Zoho ManageEngine, используемом для управления ИТ-услугами, и Confluence, инструменте для совместной работы. Кроме того, для сохранения доступа к целевому устройству использовался AnyDesk, коммерческий инструмент удаленного мониторинга и управления.
Исследователи также обнаружили новый инструмент бэкдора, который, как предполагается, использовался иранскими хакерами для атак на объекты в Бразилии, Израиле и ОАЭ. По данным компании ESET, занимающейся вопросами кибербезопасности, хакерская группа, известная как Ballistic Bobcat или Glamour Kitten, развернула этот инструмент в период с марта 2021 по июнь 2022 года, атаковав по меньшей мере 34 жертвы, большинство из которых находились в Израиле.
Иранские хакеры, спонсируемые государством, все чаще используют операции влияния, чтобы расширить воздействие традиционных кибератак и продвинуть политическую повестку дня Тегерана в Израиле и США, говорится в недавнем отчете Microsoft.
Поскольку Peach Sandstorm все больше развивается и использует новые функции, важно, чтобы соответствующие организации разработали соответствующие средства защиты, чтобы усилить поверхность атаки и увеличить стоимость этих атак.