Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers iranianos atacam milhares de organiza√ß√Ķes usando pulveriza√ß√£o de senhas

Peach Sandstorm, um grupo de hackers iranianos que visa organiza√ß√Ķes em todo o mundo, alinha-se com os seguintes grupos de amea√ßas: –

Al√©m disso, nos seguintes setores, o grupo iraniano Peach Sandstorm perseguiu mais os seus alvos nos ataques anteriores: –

  • Avia√ß√£o
  • Constru√ß√£o
  • Defesa
  • Educa√ß√£o
  • Energia
  • Servi√ßos financeiros
  • Assist√™ncia m√©dica
  • Governo
  • Sat√©lite
  • Telecomunica√ß√Ķes

Os pesquisadores de seguran√ßa cibern√©tica da Microsoft observado atividade generalizada de pulveriza√ß√£o de senhas em milhares de organiza√ß√Ķes pela Peach Sandstorm (tamb√©m conhecida como HOLMIUM) desde fevereiro de 2023, sugerindo coleta de intelig√™ncia para interesses do Estado iraniano.

Documento

Análise técnica

Peach Sandstorm usou várias ferramentas para descoberta, persistência e movimento lateral após autenticação bem-sucedida, embora ocasionalmente exfiltrasse dados.

Em 2023, a Peach Sandstorm empregou diversas táticas no início e desenvolveu TTPs em estágios posteriores, incluindo movimento lateral e exfiltração de dados.

De fevereiro a julho de 2023, a Peach Sandstorm lançou uma ampla campanha de pulverização de senhas, maximizando o sucesso ao testar senhas comuns em diversas contas.

Campanhas prolongadas de pulveriza√ß√£o de senhas revelam o comportamento do advers√°rio, com as recentes caracter√≠sticas √ļnicas do Peach Sandstorm, incluindo IPs TOR e agente de usu√°rio ‚Äúgo-http-client‚ÄĚ, alinhando-se com um padr√£o iraniano, principalmente entre 9 Estou para 5 PM IRST no final de maio e junho.

Após a autenticação bem-sucedida, a Peach Sandstorm utilizou o AzureHound para reconhecimento do Microsoft Entra ID e o Roadtools para acesso e despejo de dados na nuvem.

Os recursos de dupla finalidade do AzureHound e do Roadtools atraem tanto os defensores quanto os advers√°rios, permitindo a explora√ß√£o de dados e o despejo cont√≠nuo em um √ļnico banco de dados.

Além disso, para fins de comunicação, o Peach Sandstorm utilizou vários métodos de persistência, incluindo a criação de assinaturas do Azure e a exploração de recursos comprometidos.

N√≥s recomendamos:  7 Melhores maneiras de proteger sua rede Wi-Fi dom√©stica contra hackers

Além disso, o Peach Sandstorm também utilizou indevidamente o Azure Arc, instalando-o em dispositivos comprometidos para controlar remotamente ambientes locais.

No caso do Caminho 2para acessar os ambientes dos alvos no Zoho ManageEngine e Confluence, o Peach Sandstorm tentou aproveitar as seguintes vulnerabilidades p√ļblicas do POC:-

O interesse da Peach Sandstorm nas ind√ļstrias de sat√©lite, defesa e em certas ind√ļstrias farmac√™uticas ainda est√° presente em 2023. Come√ßa com a pulveriza√ß√£o de senhas em in√ļmeras empresas, talvez incluindo alvos oportunistas.

Mitiga√ß√Ķes

Abaixo, mencionamos todas as mitiga√ß√Ķes fornecidas pelos analistas de seguran√ßa da Microsoft:-

  • Certifique-se de alterar as senhas das contas alvo ap√≥s ataques de pulveriza√ß√£o de senhas.
  • Certifique-se de revogar os cookies da sess√£o.
  • Siga o Azure Security Benchmark e as pr√°ticas recomendadas de seguran√ßa de identidade.
  • Aumente a seguran√ßa da conta por meio da higiene de credenciais.
  • Habilite a MFA cont√≠nua para todas as contas, priorizando as privilegiadas, para combater ataques de pulveriza√ß√£o de senhas.
  • Switch para m√©todos de autentica√ß√£o sem senha, como Azure MFA, certificados ou Windows Ol√° para neg√≥cios.
  • Certifique-se de fortalecer a seguran√ßa do RDP e Windows Desktop Virtual com MFA para evitar ataques de senha.

COIs