Microsoft, APT33 İranlı siber casusluk grubunun dünya çapındaki savunma yüklenicilerine saldırmak için yakın zamanda keşfedilen FalseFont arka kapı kötü amaçlı yazılımını kullandığını söylüyor.
Şirket, “Microsoft, İranlı ulus devlet aktörü Peach Sandstorm’un, Savunma Sanayi Üssü (DIB) sektöründeki kuruluşlar için çalışan kişilere FalseFont adlı yeni geliştirilmiş bir arka kapı sunmaya çalıştığını gözlemledi” dedi. söz konusu.
Bu saldırılarda hedeflenen DIB sektörü, askeri silah sistemleri, alt sistemleri ve bileşenlerinin araştırılması ve geliştirilmesinde görev alan 100.000’den fazla savunma şirketi ve taşeronundan oluşuyor.
Peach Sandstorm, HOLMIUM veya Refined Kitten olarak da takip edilen bu hack grubu en az 2013’ten beri aktif. Hedefleri Amerika Birleşik Devletleri, Suudi Arabistan ve Güney Kore’de hükümet, savunma, araştırma dahil olmak üzere çok çeşitli endüstri sektörlerini kapsıyor. , finans ve mühendislik sektörleri.
Microsoft’un bugün duyurduğu kampanyada kullanılan özel arka kapı FalseFont, operatörlerine güvenliği ihlal edilmiş sistemlere uzaktan erişim, dosya yürütme ve komut ve kontrol (C2) sunucularına dosya aktarımı sağlıyor.
Microsoft’a göre, bu kötü amaçlı yazılım türü ilk kez Kasım 2023’ün başlarında vahşi doğada gözlemlendi.
Redmond, “FalseFont’un geliştirilmesi ve kullanımı, Microsoft’un geçen yıl gözlemlediği Peach Sandstorm etkinliği ile tutarlıdır ve bu da Peach Sandstorm’un ticari becerilerini geliştirmeye devam ettiğini göstermektedir” dedi.
APT33 bilgisayar korsanlarının hedeflediği saldırı yüzeyini azaltmak için ağ savunucularına, parola püskürtme saldırılarında hedeflenen hesapların kimlik bilgilerini sıfırlamaları önerilir.
Ayrıca oturum çerezlerini iptal etmeli ve çok faktörlü kimlik doğrulamayı (MFA) kullanarak hesapları ve RDP veya Windows Sanal Masaüstü uç noktalarını güvenli hale getirmelidirler.
Savunma müteahhitleri saldırı altında
Eylül ayında Microsoft, APT33 tehdit grubu tarafından koordine edilen ve Şubat 2023’ten bu yana savunma sektörü de dahil olmak üzere dünya çapında binlerce kuruluşu kapsamlı şifre sprey saldırılarıyla hedef alan başka bir kampanya konusunda uyardı.
Microsoft Tehdit İstihbaratı ekibi, “Şubat ve Temmuz 2023 arasında Peach Sandstorm, binlerce ortamda kimlik doğrulaması yapmaya çalışan bir şifre sprey saldırıları dalgası gerçekleştirdi” dedi.
“Peach Sandstorm, 2023 yılı boyunca ABD ve diğer ülkelerin uydu, savunma ve daha az ölçüde ilaç sektörlerindeki kuruluşlarına sürekli olarak ilgi gösterdi.”
Saldırılar savunma, uydu ve ilaç sektörlerinde sınırlı sayıda mağdurun veri hırsızlığıyla sonuçlandı.
Ekim 2012 tarihli bir Microsoft raporuna göre, Microsoft Tehdit İstihbarat Merkezi’ndeki (MSTIC) araştırmacılar tarafından DEV-0343 olarak adlandırılan İran bağlantılı bir bilgisayar korsanlığı grubu da iki yıl önce ABD ve İsrail savunma teknolojisi şirketlerine saldırdı.
Son yıllarda dünyanın dört bir yanındaki savunma kurumları ve müteahhitler de Rus, Kuzey Koreli ve Çinli devlet korsanlarının hedefi haline geldi.