Kuruluşları dünya çapında hedef alan İranlı bir Hacker grubu olan Peach Sandstorm, aşağıdaki tehdit gruplarıyla aynı doğrultudadır: –
Bunun yanı sıra İranlı grup Peach Sandstorm, geçmiş saldırılarda en çok aşağıdaki sektörlerde hedeflerini takip etti:
- Havacılık
- Yapı
- Savunma
- Eğitim
- Enerji
- Finansal hizmetler
- Sağlık hizmeti
- Devlet
- Uydu
- Telekomünikasyon
Microsoft’taki siber güvenlik araştırmacıları, Şubat 2023’ten bu yana Peach Sandstorm (aka HOLMIUM) tarafından binlerce kuruluşa yönelik yaygın şifre püskürtme faaliyetine dikkat çekti ve bu, İran devletinin çıkarları için istihbarat toplandığını öne sürdü.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Teknik Analiz
Peach Sandstorm, ara sıra veri sızdırmasına rağmen başarılı kimlik doğrulamanın ardından keşif, kalıcılık ve yanal hareket için çeşitli araçlar kullandı.
2023’te Peach Sandstorm, başlangıçta çeşitli taktikler uyguladı ve daha sonraki aşamalarda, yanal hareket ve veri sızıntısı da dahil olmak üzere TTP’leri geliştirdi.
Peach Sandstorm, Şubat ayından Temmuz 2023’e kadar yaygın bir şifre sprey kampanyası başlattı ve çok sayıda hesapta ortak şifreleri deneyerek başarıyı en üst düzeye çıkardı.
Uzun süreli şifre sprey kampanyaları, Peach Sandstorm’un TOR IP’leri ve “go-http-client” kullanıcı aracısı da dahil olmak üzere son dönemdeki benzersiz özellikleriyle, özellikle mayıs ve haziran aylarında sabah 9’dan akşam 5’e kadar İran modeliyle uyumlu olan düşman davranışlarını ortaya çıkarıyor.
Başarılı kimlik doğrulamanın ardından Peach Sandstorm, Microsoft Entra ID keşfi için AzureHound’u ve veri erişimi ve buluta veri aktarımı için Roadtools’u kullandı.
AzureHound ve Roadtools’un çift amaçlı özellikleri, hem savunuculara hem de rakiplere hitap ederek, tek bir veritabanında veri keşfine ve sorunsuz döküme olanak tanır.
Bunun yanı sıra, iletişim amacıyla Peach Sandstorm, Azure abonelikleri oluşturmak ve güvenliği ihlal edilmiş kaynaklardan yararlanmak da dahil olmak üzere çeşitli kalıcılık yöntemleri kullandı.
Üstelik Peach Sandstorm, şirket içi ortamları uzaktan kontrol etmek için Azure Arc’ı güvenliği ihlal edilmiş cihazlara yükleyerek kötüye kullandı.
Yol 2 durumunda, Peach Sandstorm, Zoho ManageEngine ve Confluence’daki hedeflerin ortamlarına erişmek için aşağıdaki genel POC güvenlik açıklarından yararlanmayı denedi:-
Peach Sandstorm’un uydu, savunma ve bazı ilaç sektörlerine olan ilgisi 2023’te de devam ediyor. Bu ilgi, belki fırsatçı hedefler de dahil olmak üzere çok sayıda işletmeye şifre püskürtmeyle başlıyor.
Azaltmalar
Aşağıda, Microsoft’taki güvenlik analistleri tarafından sağlanan tüm azaltımlardan bahsettik: –
- Parola spreyi saldırılarından sonra hedeflenen hesapların parolalarını değiştirdiğinizden emin olun.
- Oturum çerezlerini iptal ettiğinizden emin olun.
- Azure Güvenlik Karşılaştırması ve kimlik güvenliği en iyi uygulamalarını takip edin.
- Kimlik bilgileri hijyeni yoluyla hesap güvenliğini artırın.
- Parola püskürtme saldırılarına karşı koymak için ayrıcalıklı hesaplara öncelik vererek tüm hesaplar için sürekli MFA’yı etkinleştirin.
- Azure MFA, sertifikalar veya Windows Hello for Business gibi parolasız kimlik doğrulama yöntemlerine geçin.
- Parola saldırılarını önlemek için RDP ve Windows Sanal Masaüstünün güvenliğini MFA ile güçlendirdiğinizden emin olun.
IOC’ler
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.