WordPress 網站
Metamorworks – stock.adobe.com
WordPress 網站 伊朗國家威脅組織 Peach Sandstorm 開發了一種危險的新惡意軟體產品,該產品構成了快速演變的攻擊序列的關鍵要素
曾經
- 亞歷克斯·斯克羅斯頓,安全編輯器
發表: 2024年8月28日 16:42
微軟威脅研究人員在追蹤一種名為Tickler的新穎、客製化、多階段後門惡意軟體的出現後發出了警告,該惡意軟體正在用於針對美國和黎巴嫩的衛星、政府、石油和天然氣部門的目標。
Tickler 似乎被伊朗支持的高級持續威脅 (APT) 攻擊者使用,微軟威脅情報部門將其稱為 Peach Sandstorm(又名 APT33),很可能是代表伊朗革命衛隊 (IGRC) 運作的網路單位 – Mint 另一個與IGRC有聯繫的組織沙塵暴(又名迷人的小貓)最近被懷疑是針對唐納德·特朗普競選活動的黑客攻擊的幕後黑手。
該惡意軟體於今年稍早部署,其使用代表了 Peach Sandstorm 攻擊方法的舞蹈。
微軟研究團隊寫道:“在通過密碼噴射攻擊或社會工程進行初步訪問後,微軟觀察到了新的策略、技術和程序(TTP)。”
「2024 年 4 月至 7 月期間,Peach Sandstorm 部署了新的自訂多階段後門 Tickler,並利用託管在詐騙、攻擊者控制的 Azure 訂閱中的 Azure 基礎設施進行命令與控制(C2)。
它們表示:“微軟持續監控Azure以及所有微軟產品和服務,以確保遵守我們的服務條款。”“微軟已通知該組織,並破壞了與此活動相關的欺詐性Azure基礎設施和帳戶。”
Peach Sandstorm 因針對目標成功部署密碼噴射攻擊而聞名,通常會透過 LinkedIn 對有興趣的人進行研究。
WordPress 網站 密碼噴灑
其進化後的攻擊鏈仍然使用密碼噴射技術,但在 Tickler 活動中,該技術被用於訪問教育部門的組織並劫持密鑰帳戶。或建立它們。
微軟表示,最近針對 Azure 的安全性更新應該會對這些策略增加防禦力,儘管顯然還不夠快來阻止這些活動。
WordPress 網站 蒂克勒是做什麼的?
Tickler旨在穿透幫助Peach Sandstorm在其目標網路中站穩腳跟,在採購過程中發揮關鍵作用。
其中,微軟已經識別出了兩個不同的 Tickler 樣本。沙暴定位受感染的網路。
第二次迭代在第一次迭代的基礎上進行了改進,添加了特洛伊木馬投放方案功能以從C2伺服器下載有效負載,包括後門、用於啟用後門持久性的中斷腳本以及用於動態連結庫( DLL)旁載入一些合法文件。
微軟表示,Peach Sandstorm以這種方式損害了多個組織,並達到了各種目標,包括使用伺服器訊息區塊(SMB)橫向移動並提升控制權、下載和安裝終端監控和管理(RMM)工具來窺探他們的目標,並取得Active Directory (AD) 快照以用於進一步的攻擊。
WordPress 網站 擊敗桃子
微軟的文章列出了高風險組織中的防禦者現在應該採取的幾個步驟。
- 重新設定任何引密碼噴射攻擊的帳戶的電阻,並撤銷其會話cookie以及可能對帳戶進行的任何變更(例如MFA設定);
- 啟用針對 MFA 設定變更的 MFA 質詢,並整體改善衛生狀況,例如貫穿實施最低權限協議和使用 Microsoft Entra 中提供的增強保護;
- 是否實施Azure 安全基準和其他最佳實踐,請在本地首發。
Microsoft 提供了更多指導。
了解有關黑客和網路犯罪預防的更多信息
伊朗 APT 發現勒索軟體人員的訪問經紀人
經過: 亞歷克斯·斯克羅斯頓
密碼噴灑
經過: 本·盧特克維奇
GA Payer 幫助醫療服務提供者獲得照顧的機會
經過: 凱爾西·瓦迪爾
FBI如何摧毀Cyclops Blink殭屍網絡
經過: 亞歷山大·庫拉菲