伊朗APT 黑客利用密码喷洒攻击卫星、国防和制药行业

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

微软研究人员分享了对伊朗国家黑客组织 Peach Sandstorm (APT33，Refined Kitten) 的深入分析，该组织主要针对卫星、国防和制药行业。这些黑客使用复杂的方法，包括密码喷洒战术和定制工具来窃取数据，微软暗示该组织为伊朗情报收集提供了便利。 

微软研究人员在周四的一篇博客文章中写道：“自 2023 年 2 月以来，微软观察到一个被我们追踪为 Peach Sandstorm (HOLMIUM) 的行为者针对数千个组织开展了密码喷洒活动。”“Peach Sandstorm 是一个伊朗民族国家威胁行为者，最近追踪了全球卫星、国防和制药领域的组织。根据目标受害组织的概况和观察到的后续入侵活动，微软评估称，此次初始访问活动很可能用于促进情报收集，以支持伊朗国家利益。”

微软补充说，在黑客成功验证账户身份的情况下，微软发现该组织使用公开工具和自定义工具进行发现、持久性和横向移动。“在少数入侵事件中，我们发现 Peach Sandstorm 会从受感染的环境中窃取数据。”

鉴于活动量、持续尝试访问目标以及与入侵后活动相关的风险，微软报告此活动是为了提高对近期 Peach Sandstorm 间谍活动的认识，并帮助组织加强攻击面并防御此活动，该帖子概述道。“与任何观察到的国家行为者活动一样，微软会直接通知受到 Peach Sandstorm 攻击或入侵的客户，并向他们提供保护其帐户所需的信息。”

在整个 2023 年，伊朗 APT 组织一直表现出对卫星、国防以及制药行业组织的兴趣。在过去的攻击中，Peach Sandstorm 的目标包括航空、建筑、国防、教育、能源、金融服务、医疗保健、政府、卫星和电信行业。微软认为 Peach Sandstorm 的活动与公开报道的 APT33、Elfin 和 Refined Kitten 等组织的活动有重叠。

微软研究人员概述称，在此次攻击活动的初始阶段，Peach Sandstorm 针对多个行业和地区的数千家组织开展了密码喷洒活动。“虽然微软观察到之前曾被 Peach Sandstorm 攻击的组织有好几个，但活动量和组织范围表明，至少有一部分初始活动是投机取巧的。在过去的行动中，Peach Sandstorm 严重依赖（但并非唯一依赖）密码喷洒攻击作为获取目标访问权限的手段。” 

研究人员表示，在某些情况下，Peach Sandstorm 会利用这种间谍手段攻击中间目标，从而进入下游环境。他们补充道：“举个例子，Peach Sandstorm 在 2019 年发动了一波攻击，当时正值美国和伊朗伊斯兰共和国之间的紧张局势加剧。”

与本质上嘈杂的密码喷洒行动不同，Peach Sandstorm 2023 年入侵后的部分活动是隐秘而复杂的。在最近的这些活动中看到的许多基于云的战术、技术和程序 (TTP) 比 Peach Sandstorm 过去使用的功能更为复杂。

微软观察到，在 2023 年攻击中，Peach Sandstorm 在入侵生命周期的早期阶段使用了两组不同的 TTP。研究人员补充说，在已知入侵的后期阶段，黑客使用了一组已知 TTP 中的不同组合来投放其他工具、横向移动并从目标中窃取数据。他们使用了密码喷洒活动、使用 AzureHound 或 Roadtools 进行内部侦察、多种持久性机制以及对易受攻击的面向互联网的应用程序的远程利用。 

研究人员详细说明，在此次活动中的一组入侵事件中，Peach Sandstorm 部署了 AnyDesk，这是一种商用远程监控和管理工具 (RMM)，用于保持对目标的访问。AnyDesk 具有一系列功能，允许用户远程访问网络、在受感染的环境中持久存在以及启用命令和控制 (C2)。AnyDesk 之类的工具的便利性和实用性因以下事实而得到放大：在 IT 支持人员或系统管理员合法使用的环境中，应用程序控件可能会允许它使用。

研究人员详细介绍了在 2023 年 3 月的一次入侵中，Peach Sandstorm 进行了一次 Golden SAML 攻击，以访问目标的云资源。“在 Golden SAML 攻击中，攻击者从目标的本地 Active Directory 联合服务 (AD FS) 服务器窃取私钥，并使用被盗密钥创建目标的 Microsoft 365 环境信任的 SAML 令牌。如果成功，威胁行为者可以绕过 AD FS 身份验证并以任何用户身份访问联合服务，”他们补充道。

在至少一次入侵中，微软发现 Peach Sandstorm 使用合法的 VMWare 可执行文件执行搜索顺序劫持。DLL 搜索顺序劫持允许攻击者以与正常活动相融合的方式将恶意代码引入环境。

此外，在少数环境中，微软观察到 Peach Sandstorm 使用 EagleRelay 将流量传输回其基础设施。“在这些情况下，Peach Sandstorm 在受感染的 Azure 订阅中创建了一个新的虚拟机。这些虚拟机用于运行自定义工具 EagleRelay，以在参与者控制的系统和目标系统之间传输流量。在至少一个案例中，微软还发现 Peach Sandstorm 试图使用远程桌面协议 (RDP) 在受感染的环境中横向移动，”研究人员补充道。

总之，微软表示，在这次活动中观察到的功能令人担忧，因为它发现 Peach Sandstorm 使用合法凭证（从密码喷洒攻击中收集）对目标系统进行身份验证、在目标环境中持久存在，并部署一系列工具来执行其他活动。 

研究人员表示：“虽然此次活动的具体影响因威胁行为者的决定而异，但即使是初次访问也可能对特定环境的机密性产生不利影响。”“微软将继续在其平台上努力识别滥用行为、打击恶意活动并实施新的主动保护措施，以阻止恶意行为者使用我们的服务。我们鼓励客户和业界举报滥用行为。”

研究人员补充说，随着 Peach Sandstorm“不断开发和使用新功能，组织必须开发相应的防御措施来强化其攻击面并提高这些攻击的成本。微软将继续监控 Peach Sandstorm 活动并为我们的客户实施强有力的保护。”

上个月，微软研究人员发现了一个被追踪为 Flax Typhoon 的民族国家活动组织，该组织位于中国，正在针对台湾的数十家组织，可能意图进行间谍活动。Flax Typhoon 以最少的恶意软件获得并保持对台湾组织网络的长期访问，依靠操作系统内置的工具以及一些通常无害的软件悄悄地驻留在这些网络中。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗APT 黑客利用密码喷洒攻击卫星、国防和制药行业