18/09/23
Команда Microsoft Threat Intelligence заявляет, что иранская хакерская группа APT33 провела масштабные атаки с февраля 2023 года, нацеленные на кражу паролей и чувствительной информации.
Компания Microsoft предупредила о масштабной киберугрозе, исходящей от иранской хакерской группы APT33 (Peach Sandstorm, HOLMIUM, Refined Kitten). С февраля 2023 года группа проводит атаки на тысячи организаций в США и других странах, согласно Securitylab. Особый интерес хакеры проявляют к секторам обороны, спутниковых технологий и фармацевтики.
APT33 использует атаку Password Spraying, при которой хакеры пытаются войти во множество аккаунтов, используя один пароль или список распространенных паролей. Такой метод отличается от брутфорс-атак, где атакуют один аккаунт, подбирая пароль из большого списка паролей. Такая тактика позволяет злоумышленникам существенно увеличить шансы на успех, минимизируя риск автоматической блокировки аккаунтов.
Хакеры также использовали уязвимости в неисправленных устройствах Confluence и ManageEngine для проникновения в сети жертв. После проникновения APT33 использовала фреймворки AzureHound и Roadtools для разведки в Azure Active Directory жертв и извлечения данных из их облачных сред. Хакеры также использовали скомпрометированные учетные данные Azure для создания новых подписок или злоупотребления Azure Arc для управления устройствами внутри сети жертв.
На основе профиля организаций-жертв и наблюдаемой активности, специалисты Microsoft заключили, что кампания вероятно используется для сбора разведданных в интересах Ирана.
