Компания Microsoft утверждает, что с февраля 2023 года поддерживаемая Ираном группа хакеров атаковала тысячи организаций в США и по всему миру с помощью распыления паролей. Хакеры из Ирана также похитили конфиденциальную информацию у ограниченного числа жертв в оборонном, спутниковом и фармацевтическом секторах.
Отслеживаемая как APT33, также известная как Peach Sandstorm, HOLMIUM или Refined Kitten, группа кибершпионажа действует как минимум с 2013 года, атакуя предприятия различных отраслей промышленности включая государственную, оборонную, научно-исследовательскую, финансовую и инженерную в США, Саудовской Аравии и Южной Корее.
В период с февраля по июль 2023 года Peach Sandstorm осуществил целую волну атак с использованием паролей, пытаясь пройти аутентификацию в тысячах сред, говорится в сообщении Microsoft Threat Intelligence. При атаках с использованием паролей злоумышленники пытаются войти во многие учетные записи, используя один пароль или список часто используемых паролей.
Эта тактика отличается от атак методом грубой силы, когда для одной учетной записи используется длинный список паролей. Распыление паролей позволяет значительно повысить шансы злоумышленников на успех и одновременно снизить риск срабатывания автоматической блокировки учетных записей. В отличие от шумного распыления паролей, злоумышленники также использовали эксплойты, нацеленные на непропатченные устройства Confluence и ManageEngine, выставленные в интернете, для проникновения в сети объектов атаки.
После успешных попыток хакеры APT33 использовали фреймворки безопасности с открытым исходным кодом AzureHound или Roadtools для разведки в Azure Active Directory и сбора данных из облачных сред жертв. Злоумышленники также использовали скомпрометированные учетные данные Azure, создавали новые подписки Azure на арендаторов жертв или злоупотребляли Azure Arc в целях сохранения данных для контроля локальных устройств в сети жертв.
Кроме того, участники APT33 использовали методы атаки Golden SAML для латерального перемещения, развертывали AnyDesk для сохранения данных, загружали пользовательские вредоносные DLL для выполнения вредоносной полезной нагрузки и использовали инструмент туннелирования EagleRelay для туннелирования вредоносного трафика к своей командно-контрольной (C2) инфраструктуре.
Как отметил три года назад директор по безопасности идентификации Microsoft Алекс Вайнерт, атаки с использованием паролей являются одними из самых популярных атак на аутентификацию, на них приходится более трети случаев взлома корпоративных учетных записей. Многие из облачных тактик, методик и процедур (TTP), использовавшихся в последних атаках, значительно сложнее, чем возможности, применявшиеся Peach Sandstorm в прошлом.
