O grupo de hackers apoiado pelo governo iraniano conhecido como APT 33 tem realizado operações agressivas de espionagem por mais de 10 anos contra uma variedade de vítimas do setor público e privado em todo o mundo, incluindo alvos de infraestrutura crítica. Embora o grupo seja especialmente conhecido por ataques estratégicos, mas tecnicamente simples, como “password spraying,” também tem se aventurado no desenvolvimento de ferramentas de hacking mais sofisticadas, incluindo malware potencialmente destrutivo adaptado para perturbar sistemas de controle industrial. Agora, descobertas da Microsoft divulgadas na quarta-feira indicam que o grupo está continuando a evoluir suas técnicas com um novo backdoor em estágios múltiplos.
A Microsoft Threat Intelligence diz que o grupo, que chama de Peach Sandstorm, desenvolveu malware personalizado que os atacantes podem usar para estabelecer acesso remoto às redes das vítimas. O backdoor, que a Microsoft nomeou como “Tickler” por algum motivo, infecta um alvo depois que o grupo de hackers obtém acesso inicial por meio de password spraying ou engenharia social. Desde abril até julho, os pesquisadores observaram o Peach Sandstorm implantando o backdoor contra vítimas em setores como satélites, equipamentos de comunicação e petróleo e gás. A Microsoft também afirma que o grupo utilizou o malware para atacar entidades governamentais federais e estaduais nos Estados Unidos e nos Emirados Árabes Unidos.
“O malware Tickler não representa necessariamente um grande avanço em táticas, técnicas e procedimentos para esse ator de ameaças, mas representa um foco claro e ativo no desenvolvimento de ações em relação aos objetivos,” disse Sherrod DeGrippo, diretor de inteligência de ameaças da Microsoft, em comunicado à WIRED.
Os pesquisadores observaram o Peach Sandstorm implantando o Tickler e manipulando a infraestrutura de nuvem Azure das vítimas usando as assinaturas Azure dos hackers para obter controle total dos sistemas alvo. A Microsoft afirma ter notificado os clientes impactados pelo direcionamento.
O grupo também continuou seus ataques low-tech de password spraying, nos quais os hackers tentam acessar muitas contas-alvo adivinhando senhas vazadas ou comuns até conseguirem entrar. O Peach Sandstorm vem usando essa técnica para ganhar acesso aos sistemas-alvo tanto para infectá-los com o backdoor Tickler quanto para outros tipos de operações de espionagem. Desde fevereiro de 2023, os pesquisadores dizem ter observado os hackers “realizando atividade de password spray contra milhares de organizações.” Em abril e maio de 2024, a Microsoft observou o Peach Sandstorm usando password spraying para atacar organizações nos Estados Unidos e na Austrália dos setores espacial, de defesa, governamental e educacional.
“O Peach Sandstorm também continuou a realizar ataques de password spray contra o setor educacional para aquisição de infraestrutura e contra os setores satélite, governamental e de defesa como alvos principais para coleta de inteligência,” escreveu a Microsoft.
Os pesquisadores afirmam que, além dessa atividade, o grupo tem continuado suas operações de engenharia social na rede social profissional LinkedIn, de propriedade da Microsoft, que remontam pelo menos a novembro de 2021 e continuaram até meados de 2024. A Microsoft observou o grupo criando perfis no LinkedIn que se passam por estudant…
Os hackers iranianos têm sido prolíficos e agressivos no cenário internacional por anos e não mostraram sinais de desaceleração. No início deste mês, surgiram relatos de que um grupo iraniano diferente estava mirando no ciclo de eleições dos EUA de 2024, incluindo ataques contra as campanhas de Trump e Harris.
