最新研究显示,作为间谍活动的一部分,与伊朗政府有联系的黑客瞄准了卫星、国防和制药行业的数千个组织。此次攻击背后的黑客组织被微软追踪为Peach Sandstorm,这一组织成功入侵了一些目标组织并窃取了他们的数据。微软没有透露哪些国家是目标。
最近与伊朗有关的袭击主要集中在以色列、美国、巴西和阿拉伯联合酋长国。微软表示,在2月至7月进行的新活动中,Peach Sandstorm使用公开可用和自定义工具的组合来破坏其目标并收集“支持伊朗国家利益”的情报。
为了闯入受害者的帐户,Peach Sandstorm使用了一种称为“口令喷射”的技术,他们尝试使用单个口令或常用口令列表来获得对目标设备的未经授权的访问。虽然听起来很简单,但这种技术可以让攻击者增加成功的机会,并降低触发自动帐户锁定的风险。Peach Sandstorm(之前被追踪为Holmium)在之前的攻击中也使用了口令喷射,其中包括针对航空航天、国防、化学品和采矿等行业。
当该组织设法攻击目标时,其攻击就会变得更加复杂。例如,微软注意到黑客们使用该公司的AzureHound和Roadtools工具从受害者的系统中收集信息,访问目标云环境中的数据,并将感兴趣的特定数据传输到单个数据库。
黑客组织在一个受损的设备上安装了Azure Arc客户端,并将其链接到他们自己的Azure订阅,使他们能够控制黑客云基础设施中的目标设备。他们还试图利用众所周知的漏洞,例如用于IT服务管理的Zoho ManageEngine中的漏洞,以及团队协作工具Confluence。另外,还使用了商业远程监控和管理工具AnyDesk来保持对目标的访问。
研究人员还发现了一种新的后门工具,疑似伊朗黑客使用该工具攻击巴西、以色列和阿联酋的目标。据网络安全公司ESET称,这个名为“弹道山猫”或“魅力小猫”的黑客组织在2021年3月至2022年6月期间部署了该工具,目标是至少34名受害者,其中大部分在以色列。
微软最近的一份报告称,伊朗国家支持的黑客越来越多地利用影响力行动来扩大传统网络攻击的影响,并在以色列和美国推动德黑兰的政治议程。
随着Peach Sandstorm越来越多地开发和使用新功能,相关组织必须开发相应的防御措施,以加强其攻击面并提高这些攻击的成本。