微软报告伊朗黑客组织 APT33 利用新型 Tickler 恶意软件攻击美国政府、国防、石油和天然气部门

伊朗黑客组织APT33利用新型Tickler恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。

根据微软安全研究人员撰写的报告，代表伊朗利益的威胁组织（也被追踪为 Peach Sandstorm 和 Refined Kitten）在 2024 年 4 月至 7 月期间使用了这种新恶意软件作为情报收集活动的一部分。

在这些攻击过程中，攻击者利用 Microsoft Azure 基础设施进行命令和控制 (C2)，使用欺诈性的、攻击者控制。

APT33 在 2024 年 4 月至 5 月期间成功发动密码喷洒攻击，入侵了国防、航天、教育和政府部门的目标组织。在这些攻击中，他们试图使用少量常用密码访问许多帐户，以避免触发帐户锁定。

“尽管密码喷洒活动在各个行业中都持续出现，但微软观察到 Peach Sandstorm 专门利用教育行业中被盗用的用户账户来获取运营基础设施。在这些情况下，攻击者访问了现有的 Azure 订阅或使用被盗用账户创建订阅来托管其基础设施。”微软表示。

黑客控制的 Azure 基础设施被用于后续针对政府、国防和航天领域的行动。

APT33 Tickler 攻击流程

微软补充道：“在过去的一年里，Peach Sandstorm 使用定制工具成功入侵了多家组织，主要是上述领域的组织。”

今年 9 月，微软警告称，APT33 活动已再次出现，自 2023 年 2 月以来，该活动针对全球数千个组织发起了大规模密码喷洒攻击，针对国防、卫星和制药领域。

微软宣布，从 10 月 15 日开始，所有 Azure 登录尝试都必须进行多重身份验证 (MFA)，以保护 Azure 帐户免遭网络钓鱼和劫持。

该公司此前发现，MFA 可使 99.99% 启用 MFA 的账户抵御黑客攻击，并将入侵风险降低 98.56%，即使攻击者试图使用之前被入侵的凭据入侵账户。

转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/uczzZDeRMymYI9BBmqqYog

封面来源于网络，如有侵权请联系删除