Um grupo iraniano de ameaça persistente avançada (APT) chamado Peach Sandstorm — também conhecido como APT33, Elfin e Refined Kitten — usou técnicas de pulverização (spray) de senhas entre fevereiro e julho de 2023. Esta é uma técnica de força bruta em que os operadores de ameaças tentam se autenticar em várias contas a partir de uma lista de senhas comumente usadas.
A Microsoft afirmou que, embora essas campanhas barulhentas tenham atingido milhares de organizações em vários setores e regiões geografias do mundo, a atividade subsequente foi mais “furtiva e sofisticada”. “Muitas das táticas, técnicas e procedimentos (TTPs) baseados em nuvem vistos nessas campanhas mais recentes são materialmente mais sofisticados do que os recursos usados pelo Peach Sandstorm no passado”, explicou.
“Em estágios posteriores de comprometimentos conhecidos, o operador da ameaça usou combinações diferentes de um conjunto de TTPs conhecidos para descarregar ferramentas adicionais, mover-se lateralmente e, finalmente, exfiltrar dados de um alvo”, disse a empresa.
O relatório afirma que um pequeno subconjunto de vítimas comprometidas teve dados retirados de seus sistemas. Não está claro que tipo de organizações eram essas, mas o APT33 tem um interesse particular nos setores de satélite, defesa e farmacêutico, disse a Microsoft.
Veja isso
Grupo chinês usa ferramenta para espionar dispositivos Android
Apple divulga dois dias zero usados para implantar spyware
O grupo usou o AzureHound e o Roadtools para realizar reconhecimento em ambientes Microsoft Entra ID — antigo Azure Active Directory — e implantou vários mecanismos de persistência, incluindo o uso do Azure Arc. Essa ferramenta permite que os usuários “protejam, desenvolvam e operem infraestrutura, aplicativos e serviços do Azure em qualquer lugar, para persistir em ambientes comprometidos”, explicou a Microsoft.
Em alguns casos, o grupo evitou a pulverização de senhas em favor da exploração de vulnerabilidades: especificamente, bugs de execução remota de código no Zoho (CVE-2022-47966) e no Confluence (CVE-2022-26134). Em algumas invasões, o APT33 implantou a ferramenta comercial de monitoramento e gerenciamento remoto AnyDesk para manter o acesso a um alvo. O objetivo final era roubar inteligência alinhada com os interesses do governo iraniano, afirmou a Microsoft.