İranlı bir Hacker grubu olan Peach Sandstorm, dünya çapında çeşitli sektörleri hedefliyor ve bu grup aşağıdakilerle bağlantılı: –
- APT33
- Elfin
- Rafine Yavru Kedi
Bu ulus-devlet grubu öncelikle aşağıdaki sektörlere odaklanmaktadır: –
- Havacılık
- Yapı
- Savunma
- Eğitim
- Enerji
- Finans
- Sağlık hizmeti
- Devlet
- Uydu
- Telekomünikasyon
Grup, 2023 yılında uydu, savunma ve ilaç sektörlerine yoğun ilgi gösteriyor. Parola sprey kampanyaları kullanan Peach Sandstorm, bu taktiğe güvenme geçmişiyle fırsatçı davranışlar sergiliyor.
Bununla birlikte, bunun yanı sıra, 2023’teki daha gizli faaliyetler, geçmiş gürültülü operasyonlarla tezat oluşturuyor ve gelişmiş bulut tabanlı teknikleri sergiliyor.
Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları, yakın zamanda tehdit aktörlerinin Microsoft’un Windows işletim sistemini hacklemesine olanak tanıyan “FalseFont” adlı yeni bir arka kapı keşfetti ve İranlı Hacker grubu Peach Sandstorm’un bu yeni arka kapıyı geliştirdiği bildirildi.
Teknik Analiz
Bu özel arka kapı FalseFont, operatörlerine aşağıdaki yetenekleri sağlar: –
- Uzaktan erişim
- Dosya başlatılıyor
- C2 sunucularına veri aktarımı
Bu özel arka kapı FalseFont, Kasım 2023’ün başlarında hedeflerine yönelik operasyonlar sırasında tespit edildi.
FalseFont’un gelişimi, Microsoft’un Peach Sandstorm’a yönelik bir yıl boyunca yaptığı gözlemlerle uyumlu olup, yeni geliştirilen özel arka kapının sürekli olarak geliştirildiğini göstermektedir.
Ayrıca, Microsoft’un Windows işletim sistemiyle önceden yerleşik olarak gelen güvenlik çözümü Microsoft Defender Antivirus, “FalseFont” arka kapısını şu şekilde algıladı: –
Aşağıda, kuruluşların kendi ortamlarındaki bu karmaşık arka kapıyı tespit etmelerine yardımcı olacak IOC’lerden bahsettik: –
- C2: Dijital kod oluşturucular[.]iletişim
- SHA-256: 364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614
Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları, Microsoft Defender XDR aracılığıyla Peach Sandstorm’un ilgili tüm etkinliklerini yakalamak amacıyla devam eden araştırmalarını aktif olarak sürdürüyor.
Azaltmalar
Aşağıda, Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları tarafından sağlanan tüm azaltımlardan bahsettik: –
- Parola püskürtme saldırısında hedeflenen hesapların, özellikle de sistem düzeyinde izinlere sahip olanların parolalarını sıfırlayın.
- Saldırganların ele geçirilen hesaplarda çok faktörlü kimlik doğrulama (MFA) ayarlarında yaptığı tüm değişiklikleri iptal edin.
- Kimlik altyapısı güvenliği için Azure Güvenlik Karşılaştırmasını ve genel en iyi uygulamaları uygulayın.
- Ortam erişimini kontrol etmek için tanımlanmış kriterlere dayalı koşullu erişim politikaları oluşturun.
- Parola püskürtme saldırılarını önlemek için Koşullu Erişimi kullanarak Microsoft Entra ID ile eski kimlik doğrulamasını engelleyin.
- Parola kaba kuvvet ihlaline karşı koruma sağlamak için AD FS web uygulaması proxy extranet kilitlemesini etkinleştirin.
- Microsoft Entra ID ortamlarında en az ayrıcalığı uygulayın ve ayrıcalıklı hesap etkinliğini denetleyin.
- Günlüklerdeki başarısız girişimleri ve IP adreslerini yakalamak için AD FS için Microsoft Entra ID Connect Health’i dağıtın.
- Zayıf parolaları ve türevlerini tespit etmek ve engellemek için Microsoft Entra ID parola korumasını kullanın.
- Riskli oturum açma işlemlerini izlemek ve bunlara yönelik politikalar oluşturmak için Microsoft Entra ID’de kimlik korumasını açın.
- Parola püskürtme saldırılarını azaltmak amacıyla ayrıcalıklı hesaplar için MFA’yı ve normal hesaplar için risk tabanlı MFA’yı kullanın.
- Azure MFA, sertifikalar veya Windows Hello for Business gibi parolasız kimlik doğrulama yöntemlerine geçiş yapmayı düşünün.
- Saldırılara karşı güçlendirmek için RDP veya Windows Sanal Masaüstü uç noktalarını MFA ile güvence altına alın.
- AD FS sunucularına Katman 0 varlıkları gibi davranın ve bunları etki alanı denetleyicilerine benzer önlemlerle koruyun.
- Kolayca tehlikeye atılan sistemlerde oturum açma kısıtlamaları ve Windows Güvenlik Duvarı gibi kontroller de dahil olmak üzere kimlik bilgileri hijyeni uygulayın.
- Şirket içi güvenlik ihlali riskini azaltmak için Microsoft Entra ID kimlik doğrulamasına geçmeyi düşünün.