Η Microsoft
λέει ότι η ιρανική ομάδα κυβερνοκατασκοπείας
APT33
χρησιμοποιεί κακόβουλο λογισμικό backdoor FalseFont που ανακαλύφθηκε πρόσφατα για να επιτεθεί σε εργολάβους άμυνας σε όλο τον κόσμο.
“Η Microsoft παρατήρησε τον ιρανικό έθνος-κράτος ηθοποιός Peach Sandstorm να προσπαθεί να παραδώσει μια πρόσφατα αναπτυγμένη κερκόπορτα με το όνομα FalseFont σε άτομα που εργάζονται για οργανισμούς στον τομέα της αμυντικής βιομηχανικής βάσης (DIB)”, η εταιρεία
είπε
.
Ο τομέας DIB που στοχεύεται σε αυτές τις επιθέσεις περιλαμβάνει περισσότερες από 100.000 αμυντικές εταιρείες και υπεργολάβους που ασχολούνται με την έρευνα και την ανάπτυξη στρατιωτικών οπλικών συστημάτων, υποσυστημάτων και εξαρτημάτων.
Παρακολουθείται επίσης ως Peach Sandstorm, HOLMIUM ή Refined Kitten, αυτή η ομάδα
hacking
δραστηριοποιείται τουλάχιστον από το 2013. Οι στόχοι της καλύπτουν ένα ευρύ φάσμα βιομηχανικών τομέων στις Ηνωμένες Πολιτείες, τη Σαουδική Αραβία και τη Νότια Κορέα, συμπεριλαμβανομένης της κυβέρνησης, της άμυνας, της έρευνας , χρηματοοικονομικοί κλάδοι και μηχανικοί κλάδοι.
Το FalseFont, το προσαρμοσμένο backdoor που αναπτύχθηκε στην καμπάνια που αποκαλύφθηκε σήμερα από τη Microsoft, παρέχει στους χειριστές της απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα, εκτέλεση αρχείων και μεταφορά αρχείων στους διακομιστές εντολών και ελέγχου (C2).
Σύμφωνα με τη Microsoft, αυτό το στέλεχος κακόβουλου λογισμικού παρατηρήθηκε για πρώτη φορά στη φύση γύρω στις αρχές Νοεμβρίου 2023.
“Η ανάπτυξη και η χρήση του FalseFont είναι συνεπής με τη δραστηριότητα του Peach Sandstorm που παρατηρήθηκε από τη Microsoft τον περασμένο χρόνο, υποδηλώνοντας ότι η Peach Sandstorm συνεχίζει να βελτιώνει το εμπορικό της έργο”, δήλωσε ο Redmond.
Συνιστάται στους υπερασπιστές δικτύου να επαναφέρουν τα διαπιστευτήρια για λογαριασμούς που στοχεύουν σε επιθέσεις με σπρέι κωδικών πρόσβασης για να μειώσουν την επιφάνεια επίθεσης που στοχεύουν οι χάκερ APT33.
Θα πρέπει επίσης να ανακαλούν τα cookie περιόδου λειτουργίας και τους ασφαλείς λογαριασμούς και τα τελικά σημεία RDP ή εικονικής επιφάνειας εργασίας των
Windows
χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Οι εργολάβοι άμυνας υπό επίθεση
Τον Σεπτέμβριο, η Microsoft προειδοποίησε για μια άλλη εκστρατεία που συντονίστηκε από την ομάδα απειλών APT33 που στόχευε χιλιάδες οργανισμούς παγκοσμίως, συμπεριλαμβανομένου του αμυντικού τομέα, σε εκτεταμένες επιθέσεις με σπρέι κωδικών πρόσβασης από τον Φεβρουάριο του 2023.
«Μεταξύ Φεβρουαρίου και Ιουλίου 2023, η Peach Sandstorm πραγματοποίησε ένα κύμα επιθέσεων με ψεκασμό κωδικών πρόσβασης, προσπαθώντας να ελέγξει την ταυτότητα σε χιλιάδες περιβάλλοντα», η
Η ομάδα της Microsoft Threat Intelligence είπε
.
«Κατά τη διάρκεια του 2023, η Peach Sandstorm έχει δείξει με συνέπεια ενδιαφέρον για τους οργανισμούς των ΗΠΑ και άλλων χωρών στους τομείς των δορυφόρων, της άμυνας και, σε μικρότερο βαθμό, του φαρμακευτικού τομέα».
Οι επιθέσεις οδήγησαν σε κλοπή δεδομένων από περιορισμένο αριθμό θυμάτων στον αμυντικό, δορυφορικό και φαρμακευτικό τομέα.
Μια ομάδα πειρατείας που συνδέεται με το Ιράν με την ονομασία DEV-0343 από ερευνητές του Microsoft Threat Intelligence Center (MSTIC) επιτέθηκε επίσης σε εταιρείες αμυντικής τεχνολογίας των ΗΠΑ και του
Ισραήλ
πριν από δύο χρόνια, σύμφωνα με έκθεση της Microsoft τον Οκτώβριο του 2012.
Τα τελευταία χρόνια, αμυντικές υπηρεσίες και εργολάβοι σε όλο τον κόσμο έχουν επίσης βρεθεί στο στόχαστρο Ρώσων, Βορειοκορεατών και Κινέζων κρατικών χάκερ.
//platform.twitter.com/widgets.js
VIA:
bleepingcomputer.com
