Восточные сказки: Peach Sandstorm и искусство цифровой разведки

Исследователи Microsoft обнаружили серию атак с использованием особого метода подбора паролей, проведённую группой APT33, также известной под названиями Peach Sandstorm, Holmium, Elfin и Magic Hound. Основные цели — организации в сфере космической промышленности, обороны и фармацевтики.

Группа APT33 известна с 2013 года. Изначально она нацеливалась на авиационную промышленность и энергетические компании, связанные с производством нефтехимической продукции. Подавляющее большинство жертв находилось на Ближнем Востоке, но также отмечались инциденты в США, Южной Корее и Европе.

С февраля по июль 2023 хакеры атаковали тысячи организаций по всему миру. «По оценкам Microsoft, начальный этап получения доступа вероятно используется для сбора разведывательной информации в интересах Ирана», — говорится в опубликованном отчете.

Для атак выбрали метод «распыления паролей», при котором одна и та же комбинация применяется к большому числу учетных записей. Такой подход позволяет избегать автоматической блокировки аккаунтов, которая обычно срабатывает при множественных неудачных попытках ввода пароля. После успешной аутентификации злоумышленники использовали различные инструменты для поиска ценной информации внутри скомпрометированных систем.

Ключевая особенность кампании заключалась в использовании анонимизированных TOR IP-адресов и специфического пользовательского агента «go-http-client», что усложняло идентификацию и преследование преступников.

Хакеры применили инструменты AzureHound и Roadtools для разведки в Microsoft Entra ID (бывший Azure Active Directory).

На скомпрометированное устройство устанавливали клиент Azure Arc и подключали его к подписке Azure, контролируемой Peach Sandstorm. С помощью Azure Arc можно мониторить устройства в локальной сети организации из своего облака.

Группа также пыталась эксплуатировать уязвимости в продуктах Zoho ManageEngine ( CVE-2022-47966 ) и Atlassian Confluence ( CVE-2022-26134 ) для доступа к системам.