Тысячи организаций США стали жертвами шпионажа иранской группы APT33

Команда Microsoft Threat Intelligence заявляет , что иранская хакерская группа APT33 провела масштабные атаки с февраля 2023 года, нацеленные на кражу паролей и чувствительной информации.

Компания Microsoft предупредила о масштабной киберугрозе, исходящей от иранской хакерской группы APT33 (Peach Sandstorm, HOLMIUM, Refined Kitten). С февраля 2023 года группа проводит атаки на тысячи организаций в США и других странах. Особый интерес хакеры проявляют к секторам обороны, спутниковых технологий и фармацевтики.

APT33 использует атаку Password Spraying, при которой хакеры пытаются войти во множество аккаунтов, используя один пароль или список распространенных паролей. Такой метод отличается от брутфорс-атак, где атакуют один аккаунт, подбирая пароль из большого списка паролей. Такая тактика позволяет злоумышленникам существенно увеличить шансы на успех, минимизируя риск автоматической блокировки аккаунтов.

Хакеры также использовали уязвимости в неисправленных устройствах Confluence и ManageEngine для проникновения в сети жертв. После проникновения APT33 использовала фреймворки AzureHound и Roadtools для разведки в Azure Active Directory жертв и извлечения данных из их облачных сред. Хакеры также использовали скомпрометированные учетные данные Azure для создания новых подписок или злоупотребления Azure Arc для управления устройствами внутри сети жертв.

На основе профиля организаций-жертв и наблюдаемой активности, специалисты Microsoft заключили, что кампания вероятно используется для сбора разведданных в интересах Ирана.

Иранские киберпреступники за последнее десятилетие совершили одни из самых разрушительных кибератак, уничтожив целые компьютерные сети по всему Ближнему Востоку и в США. Кроме того, мы сделали подробный разбор хакерской деятельности Ирана , которая поможет вам больше понять о структуре группировок, их целях и возможностях.

А недавно иранская хакерская группа «Black Reward», которая ранее нацеливалась на иранское правительство, объявила о новой атаке , на этот раз направленной на финансовое приложение, которым миллионы иранцев пользуются для цифровых транзакций.