Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
FalseFont Arka Kapı Saldırganların Güvenliği Tehlikeye Girmiş Bir Sisteme Uzaktan Bağlanmasına Olanak Sağlıyor
Prajeet Nair (@prajeetspeaks) •
22 Aralık 2023
Microsoft, İranlı devlet korsanlarının Amerikan savunma sanayii üssündeki kuruluşları hedeflemek için yeni geliştirilen bir arka kapı kullandığını söyledi.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Microsoft’un Peach Sandstorm olarak takip ettiği İran devleti tehdit aktörü, FalseFont adlı özel bir arka kapı kullandı; bu arka kapı operatörlerinin güvenliği ihlal edilmiş bir sisteme uzaktan bağlanmasını, ek dosyaların yürütülmesini başlatmasını ve saldırganın kontrolündeki sunuculara veri iletmesini sağlayan çeşitli yetenekler içeriyor.
Microsoft, araştırmacıların özel arka kapıyı ilk kez Kasım 2023’ün başlarında fark ettiğini belirtti. söz konusu Çarşamba. Savunma sanayii üssü, havacılık, teknoloji ve imalat da dahil olmak üzere ulusal askeri yeteneklere katkıda bulunan geniş bir endüstri yelpazesini kapsamaktadır.
Bilgisayar devinin bildirdiğine göre, Şubat ve Temmuz ayları arasında ulus devlet korsanı binlerce hedefe şifre püskürtmeli saldırı dalgası gerçekleştirdi.
Microsoft daha önce grubu Holmium olarak izlemişti ve grup aynı zamanda APT33 ve Refined Kitten olarak da biliniyordu.
Parola püskürtme karmaşık bir teknik değildir. Saldırganların tek bir hesabın şifresini tahmin etmeye çalıştığı kaba kuvvet saldırılarının bir çeşididir. Püskürtme, hesabın kilitlenmesini önlemek için aynı şifre tahminini birden fazla hesaba girmeyi ve en az bir kullanıcının daha önce kullanılmış veya tahmin edilmesi kolay bir şifreye sahip olduğuna dair bahis oynamayı içerir.
Microsoft, “FalseFont’un geliştirilmesi ve kullanımı, Microsoft tarafından geçen yıl gözlemlenen Peach Sandstorm etkinliği ile tutarlıdır ve bu da Peach Sandstorm’un ticari becerilerini geliştirmeye devam ettiğini göstermektedir” dedi.
İranlı bilgisayar korsanlarının artan karmaşıklığı, Microsoft’un Eylül ayında Tahran’daki tehdit aktörlerinin sıfır gün açıklamalarını birkaç gün, hatta birkaç saat içinde istismara dönüştürdüğüne dair yazdığı bir uyarıdır. Peach Sandstorm, İranlı devlet korsanlarının ilk saldırı vektörleri olarak ağırlıklı olarak kimlik avı, kimlik bilgileri doldurma ve diğer sosyal mühendislik tekniklerine dayanma konusundaki itibarıyla uyumludur, ancak Microsoft, ilk erişimi kazandıktan sonraki faaliyetlerinin bir kısmının “gizli ve karmaşık” olduğunu söyledi (bkz:: İranlı Hackerlar Gelişmişlik Kazanıyor, Microsoft Uyardı).