伊朗黑客利用FalseFont向全球國防工業基地發起攻擊
近日,微軟稱伊朗網絡間諜組織 APT33 正在利用 FalseFont 后門惡意軟件攻擊全球國防工業基地。
據觀察,伊朗民族國家黑客Peach Sandstorm 曾試圖向國防工業基地(DIB)部門的組織員工發送名為 FalseFont 的開發后門。此類攻擊針對的目標包括 10 萬多家參與研究和開發軍事武器系統、子系統和組件的國防公司和分包商。
該黑客組織又名 Peach Sandstorm\HOLMIUM \Refined Kitten,自 2013 年起就活動頻繁。他們的攻擊目標橫跨美國、沙特阿拉伯和韓國的多個行業領域,還包括政府、國防、研究、金融和工程等垂直行業。
此次微軟公布的FalseFont是該組織最新行動中部署的自定義后門,它為操作員提供了遠程訪問被入侵系統、執行文件和向其指揮控制(C2)服務器傳輸文件的功能。
微軟方面表示,這個后門是在今年 11 月初首次在野外被發現。
Redmond表示:FalseFont的相關威脅行動與微軟在過去一年中觀察到的Peach Sandstorm活動一致,這表明Peach Sandstorm的技術在持續精進。他建議各組織機構重置密碼、撤銷會話cookie,并使用多因素身份驗證(MFA)確保賬戶和RDP或Windows虛擬桌面端點的安全,從而減少 APT33 黑客的攻擊面。
遭受攻擊的國防承包商
今年 9 月,微軟曾發布警告聲明稱自 2 月以來,APT33 威脅組織針對全球數以千計的組織(包括國防部門)發起了大范圍的密碼噴射攻擊。
據微軟威脅情報團隊稱:2023 年 2 月至 7 月間,Peach Sandstorm 發起了一波密碼噴射攻擊,試圖對數千個環境進行身份驗證。
在2023年一整年,Peach Sandstorm一直展現出對美國和其他國家的衛星、國防部門組織以及制藥部門的興趣。一旦發起攻擊極易導致國防、衛星和制藥領域的數據泄露。
微軟威脅情報中心(MSTIC)的研究人員還發現了另一個與伊朗有關的黑客組織,名為DEV-0343。微軟2012年10月的一份報告顯示,該組織兩年前也曾攻擊過美國和以色列的國防科技公司。