مایکروسافت هشدار داد که یک کمپین جاسوسی سایبری جهانی که توسط بازیگر دولت-ملت ایرانی موسوم به طوفان شن هلو (معروف به هولمیوم) انجام شده است، با موفقیت اهدافی را در بخش‌های ماهواره‌ای، دفاعی و دارویی هدف قرار داده است. 

به گفته الف، این حمله سایبری از ماه فوریه فعال بوده است پست وبلاگ از Microsoft Threat Intelligence، که به این نتیجه رسید که این کمپین از انبوه حملات اسپری رمز عبور بین فوریه و جولای برای احراز هویت در هزاران محیط و استخراج داده ها استفاده کرده است که همگی در حمایت از منافع دولت ایران است.

روش حمله اسپری رمز عبور نوعی روش brute-force است که توسط هکرها برای دسترسی غیرمجاز به حساب‌های کاربری و سیستم‌ها استفاده می‌شود. پاشش رمز عبور شامل تلاش برای دسترسی به چندین حساب با استفاده از رمزهای عبور رایج است که خطر قفل شدن حساب را کاهش می دهد.

کمپین جاسوسی سایبری مخفیانه از ایران

هنگامی که یک هدف در معرض خطر قرار گرفت، تهدید پایدار پیشرفته (APT) ترکیبی از ابزارهای در دسترس عموم و سفارشی را برای فعالیت هایی از جمله شناسایی، پایداری و حرکت جانبی به کار گرفت. 

در این گزارش توضیح داده شده است: «بسیاری از تاکتیک‌ها، تکنیک‌ها و رویه‌های مبتنی بر ابر (TTP) که در این کمپین‌های اخیر دیده می‌شوند، از نظر مادی پیچیده‌تر از قابلیت‌هایی هستند که در گذشته توسط Peach Sandstorm استفاده می‌شد.

مهاجمان، حملات را از IP های Tor و با استفاده از یک عامل کاربر "go-http-client"، با استفاده از ابزارهایی مانند AzureHound و Roadtools شناسایی انجام دادند و از منابع Azure برای تداوم سوء استفاده کردند.

این گزارش ادامه می‌دهد: «در مراحل بعدی سازش‌های شناخته شده، عامل تهدید از ترکیب‌های مختلفی از مجموعه‌ای از TTP‌های شناخته‌شده برای رها کردن ابزارهای اضافی، حرکت جانبی و در نهایت استخراج داده‌ها از یک هدف استفاده کرد.

یک روش حمله اضافی به شکل بهره برداری از راه دور از برنامه های آسیب پذیر بود که به موجب آن Peach Sandstorm سعی کرد از آسیب پذیری های شناخته شده اجرای کد از راه دور (RCE) سوء استفاده کند. Zoho ManageEngine (CVE-2022-47966) و تلاقی اطلس (CVE-2022-26134) برای دستیابی به دسترسی اولیه هر دو باگ هستند محبوب با APT های همه راه راه.

در فعالیت های پس از سازش، Peach Sandstorm از انواع تاکتیک ها مانند استقرار AnyDesk برای نظارت و مدیریت از راه دور، انجام استفاده کرد. حملات SAML طلایی برای دور زدن احراز هویت، ربودن سفارشات جستجوی DLL، و استفاده از ابزارهای سفارشی مانند EagleRelay برای تونل سازی ترافیک.

این گزارش می افزاید که این کمپین به ویژه نگران کننده است زیرا Peach Sandstorm از اعتبارنامه های قانونی تایید شده از طریق حملات اسپری رمز عبور برای ایجاد مخفیانه اشتراک های جدید Azure در محیط های هدف استفاده می کند و از Azure Arc برای حفظ کنترل بر شبکه های در معرض خطر استفاده می کند.

بازنشانی گذرواژه‌ها، لغو کوکی‌های جلسات در دفاع

در این گزارش آمده است: «در حالی که طوفان شن هلو به طور فزاینده‌ای توسعه می‌یابد و از قابلیت‌های جدید استفاده می‌کند، سازمان‌ها باید دفاع‌های مربوطه را برای سخت‌تر کردن سطوح حمله خود و افزایش هزینه‌های این حملات توسعه دهند.

برای دفاع در برابر فعالیت‌های Peach Sandstorm، مایکروسافت به سازمان‌ها توصیه کرد که گذرواژه‌ها را بازنشانی کنند، کوکی‌های جلسه را لغو کنند و احراز هویت چند عاملی (MFA) را تقویت کنند.

این شرکت همچنین توصیه می‌کند که بهداشت معتبر و نظارت بر خطرات مبتنی بر هویت را حفظ کنید.

انتقال به روش‌های احراز هویت بدون رمز عبور و ایمن‌سازی نقاط پایانی با MFA نیز می‌تواند خطرات را کاهش دهد و در عین حال از آن محافظت کند. سرورهای Active Directory FS برای محافظت در برابر حملات Golden SAML بسیار مهم است.

راجر گریمز، مبشر دفاعی مبتنی بر داده در KnowBe4، توضیح می دهد که حملات اسپری رمز عبور زمانی که کاربران از رمزهای عبور منحصر به فرد، قوی برای هر سایت و سرویس یا احراز هویت چند عاملی استفاده می کنند، کار نمی کنند.

اما او می‌افزاید: «بیشتر سایت‌ها و سرویس‌ها حداقل هنوز MFA را نمی‌پذیرند». "به همین دلیل است که هر کاربر باید از یک مدیر رمز عبور خوب استفاده کند."

بازیگران ایرانی تهدیدی همیشگی هستند

بر اساس گزارش دفتر کنترل دارایی های خارجی وزارت خزانه داری آمریکا (OFAC)، بازیگران تهدید ایرانی عملیات شبکه تهاجمی را با پیام رسانی و تقویت برای دستکاری ادراک و رفتار اهداف ترکیب می کنند. دولت ایران را تحریم کند برای فعالیت های جرایم سایبری آن

هفته گذشته، فرماندهی سایبری ایالات متحده فاش کرد که بازیگران تحت حمایت دولت ایران تهدید کرده بودند از یک سازمان هوانوردی آمریکا بهره برداری کرد، دوباره با استفاده از نقص ManageEngine.

در ماه ژوئن، مشخص شد که گروه APT35 (با نام مستعار Charming Kitten) دارد قابلیت های درب پشتی اضافه شده است به محموله های فیشینگ نیزه ای آنها - و با آن یک خبرنگار اسرائیلی را هدف قرار دادند.

حمله اخیر توسط یک گروه تهدید که خود را Holy Souls می نامند که در آن این گروه به پایگاه داده متعلق به مجله طنز فرانسوی Charlie Hebdo دسترسی پیدا کرد و بیش از 200,000 مشترک را تهدید به داکس کرد، کار بازیگر دولتی ایرانی نپتونیوم، مایکروسافت بود. در ماه فوریه اعلام کرد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
• BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/microsoft-peach-sandstorm-cyberattacks-target-defense-pharmaceutical-orgs