İranlı bilgisayar korsanı grubu APT33, ABD ve Birleşik Arap Emirlikleri’ndeki hükümet, savunma, uydu, petrol ve gaz sektörlerindeki kuruluşların ağlarına arka kapı açmak için yeni Tickler zararlı yazılımını kullandı.
Microsoft güvenlik araştırmacılarının gözlemlediği gibi, İran İslam Devrim Muhafızları Ordusu (DMO) adına faaliyet gösteren tehdit grubu (Peach Sandstorm ve Refined Kitten olarak da takip ediliyor), bu yeni kötü amaçlı yazılımı Nisan-Temmuz 2024 arasında bir istihbarat toplama kampanyasının parçası olarak kullandı.
Bu saldırılar boyunca tehdit aktörleri, şirketin daha sonra bozduğu hileli, saldırgan kontrollü Azure aboneliklerini kullanarak komuta ve kontrol (C2) için Microsoft Azure altyapısını kullandı.
APT33, Nisan ve Mayıs 2024 arasında başarılı parola püskürtme saldırılarının ardından savunma, uzay, eğitim ve hükümet sektörlerindeki hedeflenen kuruluşlara sızdı. Bu saldırılarda, hesap kilitlenmelerini tetiklemekten kaçınmak için az sayıda yaygın olarak kullanılan parolayı kullanarak birçok hesaba erişmeye çalıştılar.
“Parola püskürtme etkinliği sektörler arasında tutarlı bir şekilde görünse de, Microsoft, Peach Sandstorm’un operasyonel altyapıyı tedarik etmek için yalnızca eğitim sektöründeki tehlikeye atılmış kullanıcı hesaplarından yararlandığını gözlemledi. Bu durumlarda, tehdit aktörü mevcut Azure aboneliklerine erişti veya altyapılarını barındırmak için tehlikeye atılmış hesabı kullanarak bir abonelik oluşturdu,” dedi Microsoft.
Kontrol altına aldıkları Azure altyapısı, hükümet, savunma ve uzay sektörlerini hedef alan sonraki operasyonlarda kullanıldı.
Microsoft, “Geçtiğimiz yıl Peach Sandstorm, özel araçlar kullanarak, başta yukarıda belirtilen sektörlerdeki olmak üzere birçok kuruluşu başarıyla tehlikeye attı” ifadelerini kullandı.
İranlı tehdit grubu, Kasım 2023’te de dünya çapındaki savunma sanayi şirketlerinin ağlarını tehlikeye atmak ve FalseFont arka kapı kötü amaçlı yazılımını dağıtmak için bu taktiği kullanmıştı.
Microsoft, Eylül ayında başka bir APT33 kampanyası konusunda uyardı Şubat 2023’ten bu yana dünya çapında binlerce kuruluşu kapsamlı parola püskürtme saldırılarıyla hedef aldı ve bu da ihlallere yol açtı savunma, uydu ve ilaç sektörlerinde.
Microsoft, Azure hesaplarını kimlik avı ve ele geçirme girişimlerine karşı korumak amacıyla 15 Ekim’den itibaren tüm Azure oturum açma girişimleri için çok faktörlü kimlik doğrulamanın (MFA) zorunlu olacağını duyurdu.
Şirket daha önce MFA’nın, MFA etkinleştirilmiş hesapların %99,99’unun saldırı girişimlerine direnmesini sağladığını ve saldırganlar daha önce ele geçirilmiş kimlik bilgilerini kullanarak hesaplara erişmeye çalıştığında bile, ele geçirilme riskini %98,56 oranında azalttığını tespit etmişti.