Des acteurs étatiques iraniens ont mené des attaques par pulvérisation de mots de passe contre des milliers d’organisations dans le monde entre février et juillet 2023, révèlent de nouvelles découvertes de Microsoft.
Le géant de la technologie, qui suit l’activité sous le nom Tempête de sable pêche (anciennement Holmium), a déclaré que l’adversaire poursuivait des organisations des secteurs des satellites, de la défense et de l’industrie pharmaceutique pour faciliter la collecte de renseignements à l’appui des intérêts de l’État iranien.
Si l’authentification d’un compte réussit, l’acteur malveillant a été observé en utilisant une combinaison d’outils accessibles au public et personnalisés pour la découverte, la persistance et le mouvement latéral, suivis d’une exfiltration de données dans des cas limités.
Peach Sandstorm, également connu sous les noms d’APT33, Elfin et Refined Kitten, a été associé à des attaques de spear-phishing contre les secteurs de l’aérospatiale et de l’énergie, dont certaines ont impliqué l’utilisation du logiciel malveillant SHAPESHIFT wiper. On dit qu’il est actif depuis au moins 2013.
« Dans la phase initiale de cette campagne, Peach Sandstorm a mené des campagnes de pulvérisation de mots de passe contre des milliers d’organisations dans plusieurs secteurs et zones géographiques », a déclaré l’équipe Microsoft Threat Intelligence, notant qu’une partie de cette activité était opportuniste.
La pulvérisation de mots de passe fait référence à une technique dans laquelle un acteur malveillant tente de s’authentifier auprès de nombreux comptes différents en utilisant un seul mot de passe ou une liste de mots de passe couramment utilisés. C’est différent des attaques par force brute dans lesquelles un seul compte est ciblé avec de nombreuses combinaisons d’identifiants.
« L’activité observée lors de cette campagne correspondait au mode de vie iranien, en particulier fin mai et juin, où l’activité s’est produite presque exclusivement entre 9h00 et 17h00, heure standard d’Iran (IRST) », a ajouté Microsoft.
Les intrusions se caractérisent par l’utilisation d’outils open source de l’équipe rouge tels qu’AzureHound, un binaire Golang pour effectuer la reconnaissance et ROADtools pour accéder aux données dans l’environnement cloud d’une cible. Les attaques ont en outre été observées en utilisant Azure Arc pour établir la persistance en se connectant à un abonnement Azure contrôlé par l’acteur menaçant.
Les chaînes d’attaque alternatives montées par Peach Sandstorm ont impliqué l’exploitation de failles de sécurité dans Atlassian Confluence (CVE-2022-26134) ou Zoho ManageEngine (CVE-2022-47966) pour obtenir un accès initial.
Certains autres aspects notables de l’activité post-compromission concernent le déploiement de l’outil de surveillance et de gestion à distance AnyDesk pour maintenir l’accès, EagleRelay pour renvoyer le trafic vers leur infrastructure et l’exploitation des techniques d’attaque Golden SAML pour les mouvements latéraux.
« Peach Sandstorm a également créé de nouveaux abonnements Azure et a exploité l’accès fourni par ces abonnements pour mener des attaques supplémentaires dans les environnements d’autres organisations », a déclaré Microsoft.
« Alors que Peach Sandstorm développe et utilise de plus en plus de nouvelles capacités, les organisations doivent développer des défenses correspondantes pour renforcer leurs surfaces d’attaque et augmenter les coûts de ces attaques. »
