Microsoft’un yeni bulguları, İranlı ulus devlet aktörlerinin Şubat ve Temmuz 2023 arasında dünya çapında binlerce kuruluşa şifre sprey saldırıları düzenlediğini ortaya koyuyor.
Adı altında faaliyeti takip eden teknoloji devi Şeftali Kum Fırtınası (eski adıyla Holmium), düşmanın uydu, savunma ve ilaç sektörlerindeki örgütleri İran devletinin çıkarlarını destekleyecek şekilde istihbarat toplanmasını kolaylaştırmak için takip ettiğini söyledi.
Bir hesabın kimlik doğrulaması başarılı olursa, tehdit aktörü, keşif, kalıcılık ve yatay hareket için kamuya açık ve özel araçların bir kombinasyonu kullanılarak ve ardından sınırlı durumlarda veri sızdırma yoluyla gözlemlenmiştir.
APT33, Elfin ve Refined Kitten isimleriyle de bilinen Peach Sandstorm, geçmişte havacılık ve enerji sektörlerine yönelik hedef odaklı kimlik avı saldırılarıyla ilişkilendirilmişti; bunlardan bazıları SHAPESHIFT silici kötü amaçlı yazılımın kullanılmasını gerektirmişti. En az 2013’ten beri aktif olduğu söyleniyor.
Microsoft Tehdit İstihbaratı ekibi, faaliyetlerin bir kısmının fırsatçı olduğunu belirterek, “Bu kampanyanın ilk aşamasında Peach Sandstorm, çeşitli sektör ve coğrafyalarda binlerce kuruluşa karşı şifre sprey kampanyaları yürüttü.” dedi.
Parola püskürtme, kötü niyetli bir kişinin tek bir parola veya yaygın olarak kullanılan parolaların bir listesini kullanarak birçok farklı hesapta kimlik doğrulaması yapmaya çalıştığı bir tekniği ifade eder. Tek bir hesabın birçok kimlik bilgisi kombinasyonuyla hedeflendiği kaba kuvvet saldırılarından farklıdır.
Microsoft ayrıca şunları ekledi: “Bu kampanyada gözlenen etkinlik, özellikle mayıs ayı sonlarında ve haziran aylarında İran’daki yaşam biçimiyle uyumluydu; etkinlik neredeyse yalnızca İran Standart Saati (IRST) ile 09:00 ile 17:00 arasında gerçekleşti.”
İzinsiz girişler, keşif gerçekleştirmek için bir Golang ikili programı olan AzureHound ve hedefin bulut ortamındaki verilere erişmek için ROADtools gibi açık kaynaklı kırmızı ekip araçlarının kullanılmasıyla karakterize edilir. Saldırılar, tehdit aktörü tarafından kontrol edilen bir Azure aboneliğine bağlanarak kalıcılık sağlamak amacıyla Azure Arc kullanılarak da gözlemlendi.
Peach Sandstorm tarafından oluşturulan alternatif saldırı zincirleri, ilk erişim elde etmek için Atlassian Confluence (CVE-2022-26134) veya Zoho ManageEngine’deki (CVE-2022-47966) güvenlik açıklarından yararlanılmasını gerektirdi.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Becerilerinizi Güçlendirin
Uzlaşma sonrası faaliyetin diğer bazı dikkate değer yönleri, erişimi sürdürmek için AnyDesk uzaktan izleme ve yönetim aracının konuşlandırılması, trafiği altyapılarına geri döndürmek için EagleRelay’in kullanılması ve yanal hareket için Altın SAML saldırı tekniklerinden yararlanılmasıyla ilgilidir.
Microsoft, “Peach Sandstorm ayrıca yeni Azure abonelikleri oluşturdu ve diğer kuruluşların ortamlarında ek saldırılar gerçekleştirmek için bu aboneliklerin sağladığı erişimden yararlandı” dedi.
“Peach Sandstorm yeni yetenekleri giderek daha fazla geliştirip kullandıkça, kuruluşların saldırı yüzeylerini güçlendirmek ve bu saldırıların maliyetlerini artırmak için ilgili savunmaları geliştirmesi gerekiyor.”