Un grupo APT respaldado por el estado iraní llevó a cabo una “ola” de ataques de ciberespionaje contra miles de objetivos globales durante un período de seis meses, reveló Microsoft.
El grupo conocido como Peach Sandstorm (también conocido como APT33, Elfin y Refined Kitten) utilizó técnicas de pulverización de contraseñas entre febrero y julio de 2023. Se trata de una técnica de fuerza bruta en la que los actores de amenazas intentan autenticarse en varias cuentas con una lista de contraseñas de uso común.
Microsoft afirmó que, aunque estas ruidosas campañas afectaron a miles de organizaciones en varios sectores y geografías, la actividad posterior fue más “sigilosa y sofisticada”.
El informe afirmaba que a un pequeño subconjunto de víctimas comprometidas se les extrajeron datos de sus sistemas. No está claro qué tipo de organizaciones eran, pero APT33 tiene un interés particular en los sectores de satélites, defensa y farmacéutico, dijo Microsoft.
El grupo utilizó AzureHound y Roadtools para realizar reconocimientos en entornos de Microsoft Entra ID (anteriormente Azure Active Directory) e implementó múltiples mecanismos de persistencia, incluido el uso de Azure Arc.
Esta herramienta permite a los usuarios “proteger, desarrollar y operar infraestructura, aplicaciones y servicios de Azure en cualquier lugar, para persistir en entornos comprometidos”, explicó Microsoft.
En algunos casos, el grupo evitó la pulverización de contraseñas en favor de la explotación de vulnerabilidades: específicamente, errores de ejecución remota de código en Zoho (CVE-2022-47966) y Confluence (CVE-2022-26134).
En algunas intrusiones, APT33 implementó la herramienta comercial de administración y monitoreo remoto AnyDesk para mantener el acceso a un objetivo.
El objetivo final era robar información de inteligencia alineada con los intereses del Estado iraní, afirmó Microsoft.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian