Ciberseguridad 360 | Ataques de pulverizacion de contraseñas por hackers iranies

Microsoft ha revelado que, entre febrero y julio de 2023, agentes de un Estado-naci�n iran� llevaron a cabo ataques de pulverizaci�n de contrase�as contra miles de organizaciones de todo el mundo.

El gigante tecnol�gico, que rastrea la actividad bajo el nombre de Peach Sandstorm (antes Holmium), afirma que el adversario persegu�a a organizaciones de los sectores de sat�lites, defensa y farmac�utico para facilitar probablemente la recopilaci�n de inteligencia en apoyo de los intereses del Estado iran�.

Si la autenticaci�n en una cuenta se realiza correctamente, se ha observado que el agente de la amenaza utiliza una combinaci�n de herramientas disponibles p�blicamente y personalizadas para el descubrimiento, la persistencia y el movimiento lateral, seguido de la exfiltraci�n de datos en casos limitados.

Peach Sandstorm, tambi�n conocida por los nombres APT33, Elfin y Refined Kitten, ha estado vinculada a ataques de spear-phishing contra los sectores aeroespacial y energ�tico en el pasado, algunos de los cuales han implicado el uso del malware limpiador SHAPESHIFT. Se dice que est� activo desde al menos 2013.

"En la fase inicial de esta campa�a, Peach Sandstorm llev� a cabo campa�as de pulverizaci�n de contrase�as contra miles de organizaciones de varios sectores y zonas geogr�ficas", afirm� el equipo de Inteligencia de Amenazas de Microsoft, se�alando que parte de la actividad es oportunista.

La pulverizaci�n de contrase�as se refiere a una t�cnica en la que un actor malicioso intenta autenticarse en muchas cuentas diferentes utilizando una sola contrase�a o una lista de contrase�as de uso com�n. Es diferente de los ataques de fuerza bruta, en los que se ataca a una sola cuenta con muchas combinaciones de credenciales.

"La actividad observada en esta campa�a se aline� con un patr�n de vida iran�, particularmente a finales de mayo y junio, donde la actividad se produjo casi exclusivamente entre las 9:00 AM y las 5:00 PM hora est�ndar de Ir�n (IRST)", a�adi� Microsoft.

Las intrusiones se caracterizan por el uso de herramientas de red team de c�digo abierto como AzureHound, un binario Golang para llevar a cabo el reconocimiento, y ROADtools para acceder a los datos en el entorno de nube de un objetivo. Adem�s, se ha observado que los ataques utilizan Azure Arc para establecer la persistencia mediante la conexi�n a una suscripci�n de Azure controlada por el actor de la amenaza.

Otras cadenas de ataque montadas por Peach Sandstorm han implicado la explotaci�n de fallos de seguridad en Atlassian Confluence (CVE-2022-26134) o Zoho ManageEngine (CVE-2022-47966) para obtener acceso inicial.

Otros aspectos destacables de la actividad posterior al ataque se refieren al despliegue de la herramienta de monitorizaci�n y gesti�n remota AnyDesk para mantener el acceso, EagleRelay para tunelizar el tr�fico de vuelta a su infraestructura y el aprovechamiento de las t�cnicas de ataque Golden SAML para el movimiento lateral.

"Peach Sandstorm tambi�n cre� nuevas suscripciones de Azure y aprovech� el acceso que estas suscripciones proporcionaban para llevar a cabo ataques adicionales en entornos de otras organizaciones", dijo Microsoft.

"A medida que Peach Sandstorm desarrolla y utiliza cada vez m�s nuevas capacidades, las organizaciones deben desarrollar las defensas correspondientes para endurecer sus superficies de ataque y aumentar los costes de estos ataques."

Fuente: thehackernews