25/12/23
Корпорация Microsoft сообщила о том, что иранская кибершпионская группа APT33 (Peach Sandstorm, HOLMIUM, Refined Kitten) использует новый вид вредоносного ПО под названием FalseFont для атак на сотрудников компаний, работающих в сфере оборонной промышленности по всему миру. Об этом пишет Securitylab.
Как отмечается в сообщении компании, зафиксированы попытки доставки бэкдора лицам, занятым в военно-промышленном комплексе, в который входит более 100 000 оборонных компаний и субподрядчиков, занимающихся исследованиями и разработками военных систем вооружения и компонентов.
Группа APT33 активна с 2013 года и нацелена на широкий спектр отраслей в США, Саудовской Аравии и Южной Корее, включая правительственные учреждения, оборону, исследования, финансы и инженерию.
FalseFont, развернутый в рамках обнаруженной кампании, позволяет операторам удаленно получать доступ к скомпрометированным системам, запускать файлы и передавать их на сервера управления и контроля (Command and Control, C2). Microsoft наблюдала появление штамма вредоносного ПО в начале ноября 2023 года. По словам компании, разработка и использование FalseFont соответствуют активности Peach Sandstorm, наблюдаемой за последний год, что свидетельствует о совершенствовании методов группы.
ИБ-специалистам рекомендуется сбросить учетные данные для аккаунтов, подвергшихся атакам методом перебора, для сокращения поверхности атаки. Также следует отозвать сессионные куки, обезопасить аккаунты и точки доступа RDP или Windows Virtual Desktop с использованием многофакторной аутентификации (Multi-factor authentication, MFA).
