Microsoft ha rilevato attacchi effettuati contro migliaia di organizzazioni dal gruppo Peach Sandstorm, cybercriminali finanziati dal governo iraniano. Utilizzando la tecnica, nota come password spray, sono riusciti ad accedere agli account Azure Active Directory e rubare dati sensibili a scopo di cyberspinaggio.
Password spray e altre tecniche
Il gruppo Peach Sandstorm ha utilizzato due tecniche per l’intrusione iniziale. La prima sfrutta vulnerabilità dei software Zoho ManageEngine o Confluence che permettono l’esecuzione di codice remoto. Le seconda, più complessa, prevede invece l’uso del password spray per effettuare l’autenticazione in account multipli con le stesse credenziali. Nel caso dei cybercriminali iraniani, gli attacchi provengono da indirizzi IP su rete Tor.
Tramite i tool AzureHound o Roadtools stati raccolti dati da Azure Active Directory (oggi Microsoft Entra ID) ed effettuato il dump dei database dall’ambiente cloud. Per ottenere la persistenza è stato sottoscritto un nuovo abbonamento Azure sul sistema target, consentendo il collegamento diretto con l’infrastruttura dei cybercriminali. Il controllo remoto è stato effettuato con il client Azure Arc installato su un dispositivo nell’ambiente compromesso.
Microsoft ha rilevato almeno quattro attività post intrusione: installazione di AnyDesk per il monitoraggio remoto, furto delle chiavi private dai server Active Directory Federated Services (AD FS) con Golden SAML, DLL search order hijacking con eseguibile legittimo di VMware e tunneling del traffico con EagleRelay.
Usando quindi il password spray, il gruppo Peach Sandstorm ha scoperto le credenziali, effettuato l’accesso, stabilito la persistenza ed eseguito varie attività successive. Considerato che i target operano nei settori farmaceutico, satellitare e della difesa, lo scopo è raccogliere informazioni riservate che possono essere utili al governo iraniano.
Ti potrebbe interessare
15 set 2023