Поддерживаемая правительством Ирана хакерская группа, известная как APT 33, была активен более 10 летпроведение агрессивные шпионские операции против разнообразных жертв государственного и частного секторов по всему миру, включая критически важные объекты инфраструктуры. И пока группа особенно известен для стратегических, но технически простых атак, таких как «распыление паролей», он также занимался разработкой более сложных хакерских инструментов, включая потенциально разрушительное вредоносное ПО разработаны для нарушения работы промышленных систем управления. Теперь результаты исследования Microsoft, опубликованные в среду, указывают на то, что группа продолжает совершенствовать свои методы с помощью нового многоэтапного бэкдора.
Microsoft Threat Intelligence сообщает, что группа, которую она называет Peach Sandstorm, разработала специальное вредоносное ПО, которое злоумышленники могут использовать для установления удаленного доступа к сетям жертв. Бэкдор, который Microsoft назвала «Tickler» по какой-то причинезаражает цель после того, как хакерская группа получает первоначальный доступ с помощью распыления паролей или социальной инженерии. Начиная с апреля и вплоть до июля исследователи наблюдали, как Peach Sandstorm развертывает бэкдор против жертв в таких секторах, как спутник, коммуникационное оборудование, а также нефть и газ. Microsoft также заявляет, что группа использовала вредоносное ПО для атаки на федеральные и государственные правительственные организации в Соединенных Штатах и Объединенных Арабских Эмиратах.
«Мы делимся результатами исследования использования Tickler группой Peach Sandstorm, чтобы повысить осведомленность о меняющемся опыте этого злоумышленника», — сообщает Microsoft Threat Intelligence. сказал в среду в своем отчете«Эта деятельность соответствует постоянным целям злоумышленников по сбору разведывательной информации и представляет собой новейшую стадию эволюции их давних киберопераций».
Исследователи наблюдали, как Peach Sandstorm развертывает Tickler, а затем манипулирует облачной инфраструктурой жертвы Azure, используя подписки Azure хакеров, чтобы получить полный контроль над целевыми системами. Microsoft заявляет, что уведомила клиентов, на которых повлияло нацеливание, которое наблюдали исследователи.
По данным Microsoft, группа также продолжила свои низкотехнологичные атаки с распылением паролей, в ходе которых хакеры пытаются получить доступ ко многим целевым учетным записям, угадывая утекшие или общие пароли, пока кто-то не позволит им войти. Peach Sandstorm использовала эту технику для получения доступа к целевым системам как для заражения их бэкдором Tickler, так и для других видов шпионских операций. Исследователи говорят, что с февраля 2023 года они наблюдали, как хакеры «проводили деятельность по распылению паролей против тысяч организаций». А в апреле и мае 2024 года Microsoft наблюдала, как Peach Sandstorm использовала распыление паролей для атак на организации США и Австралии, которые работают в космическом, оборонном, государственном и образовательном секторах.
«Peach Sandstorm также продолжила проводить атаки методом распыления паролей против образовательного сектора для закупок инфраструктуры, а также против спутникового, государственного и оборонного секторов как основных целей для сбора разведывательной информации», — пишет Microsoft.
Исследователи говорят, что в дополнение к этой деятельности банда также продолжала свои операции по социальной инженерии в профессиональной социальной сети LinkedIn, принадлежащей Microsoft, которые, по их словам, начались как минимум в ноябре 2021 года и продолжались до середины 2024 года. Microsoft заметила, что группа создавала профили LinkedIn, выдавая себя за студентов, разработчиков программного обеспечения и менеджеров по подбору талантов, которые предположительно находятся в США и Западной Европе.
«Персиковая песчаная буря в основном использовалась [these accounts] для сбора разведданных и возможной социальной инженерии против высшего образования, спутниковых секторов и смежных отраслей», — написала Microsoft. «Идентифицированные учетные записи LinkedIn впоследствии были удалены».
Иранские хакеры были плодовиты и агрессивны на международной арене в течение многих лет и не показывали никаких признаков замедления. Ранее в этом месяце появились сообщения о том, что другой Иранская группировка нацелилась на избирательный цикл США 2024 годавключая нападки на предвыборные кампании Трампа и Харрис.