Peach Sandstorm, um grupo de hackers iranianos que visa organizações em todo o mundo, alinha-se com os seguintes grupos de ameaças: –
Além disso, nos seguintes setores, o grupo iraniano Peach Sandstorm perseguiu mais os seus alvos nos ataques anteriores: –
- Aviação
- Construção
- Defesa
- Educação
- Energia
- Serviços financeiros
- Assistência médica
- Governo
- Satélite
- Telecomunicações
Os pesquisadores de segurança cibernética da Microsoft observado atividade generalizada de pulverização de senhas em milhares de organizações pela Peach Sandstorm (também conhecida como HOLMIUM) desde fevereiro de 2023, sugerindo coleta de inteligência para interesses do Estado iraniano.
Documento
Análise técnica
Peach Sandstorm usou várias ferramentas para descoberta, persistência e movimento lateral após autenticação bem-sucedida, embora ocasionalmente exfiltrasse dados.
Em 2023, a Peach Sandstorm empregou diversas táticas no início e desenvolveu TTPs em estágios posteriores, incluindo movimento lateral e exfiltração de dados.
De fevereiro a julho de 2023, a Peach Sandstorm lançou uma ampla campanha de pulverização de senhas, maximizando o sucesso ao testar senhas comuns em diversas contas.
Campanhas prolongadas de pulverização de senhas revelam o comportamento do adversário, com as recentes características únicas do Peach Sandstorm, incluindo IPs TOR e agente de usuário “go-http-client”, alinhando-se com um padrão iraniano, principalmente entre 9 Estou para 5 PM IRST no final de maio e junho.
Após a autenticação bem-sucedida, a Peach Sandstorm utilizou o AzureHound para reconhecimento do Microsoft Entra ID e o Roadtools para acesso e despejo de dados na nuvem.
Os recursos de dupla finalidade do AzureHound e do Roadtools atraem tanto os defensores quanto os adversários, permitindo a exploração de dados e o despejo contínuo em um único banco de dados.
Além disso, para fins de comunicação, o Peach Sandstorm utilizou vários métodos de persistência, incluindo a criação de assinaturas do Azure e a exploração de recursos comprometidos.
Além disso, o Peach Sandstorm também utilizou indevidamente o Azure Arc, instalando-o em dispositivos comprometidos para controlar remotamente ambientes locais.
No caso do Caminho 2para acessar os ambientes dos alvos no Zoho ManageEngine e Confluence, o Peach Sandstorm tentou aproveitar as seguintes vulnerabilidades públicas do POC:-
O interesse da Peach Sandstorm nas indústrias de satélite, defesa e em certas indústrias farmacêuticas ainda está presente em 2023. Começa com a pulverização de senhas em inúmeras empresas, talvez incluindo alvos oportunistas.
Mitigações
Abaixo, mencionamos todas as mitigações fornecidas pelos analistas de segurança da Microsoft:-
- Certifique-se de alterar as senhas das contas alvo após ataques de pulverização de senhas.
- Certifique-se de revogar os cookies da sessão.
- Siga o Azure Security Benchmark e as práticas recomendadas de segurança de identidade.
- Aumente a segurança da conta por meio da higiene de credenciais.
- Habilite a MFA contínua para todas as contas, priorizando as privilegiadas, para combater ataques de pulverização de senhas.
- Switch para métodos de autenticação sem senha, como Azure MFA, certificados ou Windows Olá para negócios.
- Certifique-se de fortalecer a segurança do RDP e Windows Desktop Virtual com MFA para evitar ataques de senha.
