导 读
伊朗黑客组织APT33利用新型Tickler恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。
根据微软安全研究人员撰写的报告(https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations/),代表伊朗利益的威胁组织(也被追踪为 Peach Sandstorm 和 Refined Kitten)在 2024 年 4 月至 7 月期间使用了这种新恶意软件作为情报收集活动的一部分。
在这些攻击过程中,攻击者利用 Microsoft Azure 基础设施进行命令和控制 (C2),使用欺诈性的、攻击者控制。
APT33 在 2024 年 4 月至 5 月期间成功发动密码喷洒攻击,入侵了国防、航天、教育和政府部门的目标组织。在这些攻击中,他们试图使用少量常用密码访问许多帐户,以避免触发帐户锁定。
“尽管密码喷洒活动在各个行业中都持续出现,但微软观察到 Peach Sandstorm 专门利用教育行业中被盗用的用户账户来获取运营基础设施。在这些情况下,攻击者访问了现有的 Azure 订阅或使用被盗用账户创建订阅来托管其基础设施。”微软表示。
黑客控制的 Azure 基础设施被用于后续针对政府、国防和航天领域的行动。
APT33 Tickler 攻击流程
微软补充道:“在过去的一年里,Peach Sandstorm 使用定制工具成功入侵了多家组织,主要是上述领域的组织。”
伊朗黑客组织还在 2023 年 11 月使用了这种策略,攻击了全球国防承包商的网络并部署了 FalseFont 后门。
今年 9 月,微软警告称,APT33 活动已再次出现,自 2023 年 2 月以来,该活动针对全球数千个组织发起了大规模密码喷洒攻击,针对国防、卫星和制药领域。
微软宣布,从 10 月 15 日开始,所有 Azure 登录尝试都必须进行多重身份验证 (MFA),以保护 Azure 帐户免遭网络钓鱼和劫持。
该公司此前发现,MFA 可使 99.99% 启用 MFA 的账户抵御黑客攻击,并将入侵风险降低 98.56%,即使攻击者试图使用之前被入侵的凭据入侵账户。
参考链接:
https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):微软报告伊朗黑客组织APT33利用新型Tickler恶意软件攻击美国政府、国防、石油和天然气部门
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论