Grupo de hacking respaldado por el gobierno iraní
El grupo de hacking respaldado por el gobierno iraní, conocido como APT 33, ha estado activo durante más de 10 años, llevando a cabo operaciones de espionaje agresivas contra una variedad de víctimas en el sector público y privado en todo el mundo, incluidos objetivos de infraestructura crítica. Aunque el grupo es conocido particularmente por ataques estratégicos pero técnicamente simples como el “password spraying”, también ha incursionado en el desarrollo de herramientas de hacking más sofisticadas, incluyendo malware potencialmente destructivo diseñado para interrumpir sistemas de control industrial.
Evolución de técnicas y herramientas de hacking
Recientes hallazgos de Microsoft, publicados el miércoles, indican que el grupo continúa evolucionando sus técnicas con una nueva puerta trasera multietapa. Microsoft Threat Intelligence refiere al grupo como Peach Sandstorm, y ha desarrollado malware personalizado que los atacantes pueden usar para establecer acceso remoto en las redes de las víctimas. La puerta trasera, que Microsoft nombró “Tickler”, infecta a un objetivo después de que el grupo de hacking obtiene acceso inicial a través de password spraying o ingeniería social. Desde abril y hasta julio, los investigadores observaron a Peach Sandstorm desplegando la puerta trasera contra víctimas en sectores como satélites, equipos de comunicaciones y petróleo y gas. Microsoft también afirma que el grupo ha utilizado el malware para atacar entidades gubernamentales federales y estatales en Estados Unidos y los Emiratos Árabes Unidos.
Objetivos y operaciones de espionaje
“Estamos compartiendo nuestra investigación sobre el uso de Tickler por parte de Peach Sandstorm para aumentar la conciencia sobre la evolución de las tácticas de este actor de amenazas”, dijo Microsoft Threat Intelligence en su informe del miércoles. “Esta actividad es consistente con los objetivos de recopilación de inteligencia del actor de amenazas y representa la última evolución de sus operaciones cibernéticas”. Los investigadores observaron a Peach Sandstorm desplegando Tickler y luego manipulando la infraestructura de la nube Azure de las víctimas utilizando las suscripciones de Azure de los hackers para obtener control total sobre los sistemas objetivo. Microsoft declaró que ha notificado a los clientes que fueron impactados por la segmentación observada por los investigadores.
Continuación de ataques de password spraying
Según Microsoft, el grupo también ha continuado sus ataques de password spraying de baja tecnología, en los que los hackers intentan acceder a muchas cuentas objetivo adivinando contraseñas filtradas o comunes hasta que una les concede acceso. Peach Sandstorm ha utilizado esta técnica para acceder a sistemas objetivo tanto para infectarlos con la puerta trasera Tickler como para otros tipos de operaciones de espionaje. Desde febrero de 2023, los investigadores han observado a los hackers “realizando actividad de password spraying contra miles de organizaciones”. En abril y mayo de 2024, Microsoft observó a Peach Sandstorm utilizando password spraying para atacar organizaciones de Estados Unidos y Australia en los sectores de espacio, defensa, gobierno y educación.
Peach Sandstorm también continuó realizando ataques de password spraying contra el sector educativo para la adquisición de infraestructura y contra los sectores de satélites, gobierno y defensa como objetivos principales para la recopilación de inteligencia, escribió Microsoft. Además de esta actividad, la banda ha continuado sus operaciones de ingeniería social en la red social profesional LinkedIn, propiedad de Microsoft, que según dicen, se remonta al menos a noviembre de 2021 y han continuado hasta mediados de 2024. Microsoft observó al grupo creando perfiles en LinkedIn que pretenden ser estudiantes, desarrolladores de software y gerentes de adquisición de talento supuestamente basados en EE. UU. y Europa Occidental.
“Peach Sandstorm utilizó principalmente [estas cuentas] para llevar a cabo la recopilación de inteligencia y posible ingeniería social contra la educación superior, sectores de satélites y las industrias relacionadas”, escribió Microsoft. “Las cuentas identificadas de LinkedIn fueron posteriormente eliminadas”. Los hackers iraníes han sido prolíficos y agresivos en la escena internacional durante años y no han mostrado signos de desaceleración. A principios de este mes, surgieron informes de que un grupo iraní diferente ha estado atacando el ciclo electoral estadounidense de 2024, incluidos ataques contra las campañas de Trump y Harris.
Fuente y créditos: www.wired.com
Cats: Security
