مایکروسافت هشدار داد که یک کمپین جاسوسی سایبری جهانی که توسط بازیگر دولت-ملت ایرانی موسوم به طوفان شن هلو (معروف به هولمیوم) انجام شده است، با موفقیت اهدافی را در بخشهای ماهوارهای، دفاعی و دارویی هدف قرار داده است.
به گفته الف، این حمله سایبری از ماه فوریه فعال بوده است پست وبلاگ از Microsoft Threat Intelligence، که به این نتیجه رسید که این کمپین از انبوه حملات اسپری رمز عبور بین فوریه و جولای برای احراز هویت در هزاران محیط و استخراج داده ها استفاده کرده است که همگی در حمایت از منافع دولت ایران است.
روش حمله اسپری رمز عبور نوعی روش brute-force است که توسط هکرها برای دسترسی غیرمجاز به حسابهای کاربری و سیستمها استفاده میشود. پاشش رمز عبور شامل تلاش برای دسترسی به چندین حساب با استفاده از رمزهای عبور رایج است که خطر قفل شدن حساب را کاهش می دهد.
کمپین جاسوسی سایبری مخفیانه از ایران
هنگامی که یک هدف در معرض خطر قرار گرفت، تهدید پایدار پیشرفته (APT) ترکیبی از ابزارهای در دسترس عموم و سفارشی را برای فعالیت هایی از جمله شناسایی، پایداری و حرکت جانبی به کار گرفت.
در این گزارش توضیح داده شده است: «بسیاری از تاکتیکها، تکنیکها و رویههای مبتنی بر ابر (TTP) که در این کمپینهای اخیر دیده میشوند، از نظر مادی پیچیدهتر از قابلیتهایی هستند که در گذشته توسط Peach Sandstorm استفاده میشد.
مهاجمان، حملات را از IP های Tor و با استفاده از یک عامل کاربر "go-http-client"، با استفاده از ابزارهایی مانند AzureHound و Roadtools شناسایی انجام دادند و از منابع Azure برای تداوم سوء استفاده کردند.
این گزارش ادامه میدهد: «در مراحل بعدی سازشهای شناخته شده، عامل تهدید از ترکیبهای مختلفی از مجموعهای از TTPهای شناختهشده برای رها کردن ابزارهای اضافی، حرکت جانبی و در نهایت استخراج دادهها از یک هدف استفاده کرد.
یک روش حمله اضافی به شکل بهره برداری از راه دور از برنامه های آسیب پذیر بود که به موجب آن Peach Sandstorm سعی کرد از آسیب پذیری های شناخته شده اجرای کد از راه دور (RCE) سوء استفاده کند. Zoho ManageEngine (CVE-2022-47966) و تلاقی اطلس (CVE-2022-26134) برای دستیابی به دسترسی اولیه هر دو باگ هستند محبوب با APT های همه راه راه.
در فعالیت های پس از سازش، Peach Sandstorm از انواع تاکتیک ها مانند استقرار AnyDesk برای نظارت و مدیریت از راه دور، انجام استفاده کرد. حملات SAML طلایی برای دور زدن احراز هویت، ربودن سفارشات جستجوی DLL، و استفاده از ابزارهای سفارشی مانند EagleRelay برای تونل سازی ترافیک.
این گزارش می افزاید که این کمپین به ویژه نگران کننده است زیرا Peach Sandstorm از اعتبارنامه های قانونی تایید شده از طریق حملات اسپری رمز عبور برای ایجاد مخفیانه اشتراک های جدید Azure در محیط های هدف استفاده می کند و از Azure Arc برای حفظ کنترل بر شبکه های در معرض خطر استفاده می کند.
بازنشانی گذرواژهها، لغو کوکیهای جلسات در دفاع
در این گزارش آمده است: «در حالی که طوفان شن هلو به طور فزایندهای توسعه مییابد و از قابلیتهای جدید استفاده میکند، سازمانها باید دفاعهای مربوطه را برای سختتر کردن سطوح حمله خود و افزایش هزینههای این حملات توسعه دهند.
برای دفاع در برابر فعالیتهای Peach Sandstorm، مایکروسافت به سازمانها توصیه کرد که گذرواژهها را بازنشانی کنند، کوکیهای جلسه را لغو کنند و احراز هویت چند عاملی (MFA) را تقویت کنند.
این شرکت همچنین توصیه میکند که بهداشت معتبر و نظارت بر خطرات مبتنی بر هویت را حفظ کنید.
انتقال به روشهای احراز هویت بدون رمز عبور و ایمنسازی نقاط پایانی با MFA نیز میتواند خطرات را کاهش دهد و در عین حال از آن محافظت کند. سرورهای Active Directory FS برای محافظت در برابر حملات Golden SAML بسیار مهم است.
راجر گریمز، مبشر دفاعی مبتنی بر داده در KnowBe4، توضیح می دهد که حملات اسپری رمز عبور زمانی که کاربران از رمزهای عبور منحصر به فرد، قوی برای هر سایت و سرویس یا احراز هویت چند عاملی استفاده می کنند، کار نمی کنند.
اما او میافزاید: «بیشتر سایتها و سرویسها حداقل هنوز MFA را نمیپذیرند». "به همین دلیل است که هر کاربر باید از یک مدیر رمز عبور خوب استفاده کند."
بازیگران ایرانی تهدیدی همیشگی هستند
بر اساس گزارش دفتر کنترل دارایی های خارجی وزارت خزانه داری آمریکا (OFAC)، بازیگران تهدید ایرانی عملیات شبکه تهاجمی را با پیام رسانی و تقویت برای دستکاری ادراک و رفتار اهداف ترکیب می کنند. دولت ایران را تحریم کند برای فعالیت های جرایم سایبری آن
هفته گذشته، فرماندهی سایبری ایالات متحده فاش کرد که بازیگران تحت حمایت دولت ایران تهدید کرده بودند از یک سازمان هوانوردی آمریکا بهره برداری کرد، دوباره با استفاده از نقص ManageEngine.
در ماه ژوئن، مشخص شد که گروه APT35 (با نام مستعار Charming Kitten) دارد قابلیت های درب پشتی اضافه شده است به محموله های فیشینگ نیزه ای آنها - و با آن یک خبرنگار اسرائیلی را هدف قرار دادند.
حمله اخیر توسط یک گروه تهدید که خود را Holy Souls می نامند که در آن این گروه به پایگاه داده متعلق به مجله طنز فرانسوی Charlie Hebdo دسترسی پیدا کرد و بیش از 200,000 مشترک را تهدید به داکس کرد، کار بازیگر دولتی ایرانی نپتونیوم، مایکروسافت بود. در ماه فوریه اعلام کرد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/microsoft-peach-sandstorm-cyberattacks-target-defense-pharmaceutical-orgs