Иранская хакерская группа APT33 (Peach Sandstorm) начала использовать новое вредоносное ПО Tickler для взлома сетей организаций государственного, оборонного, спутникового, нефтегазового секторов в США и Объединённых Арабских Эмиратах. В компании Microsoft сообщили, что хакеры, якобы действующие от имени Корпуса стражей исламской революции (КСИР), использовали это новое вредоносное ПО в рамках кампании по сбору разведывательной информации в период с апреля по июль 2024 года.
В американской корпорации также отметили, что в ходе этих кибератак злоумышленники использовали инфраструктуру Microsoft Azure для управления и контроля (C2), применяя поддельные подписки Azure. Однако их работу Microsoft впоследствии нарушила.
Хакерская группировка APT33, как заявляют эксперты по кибербезопасности Microsoft, взломала целевые организации в оборонном, космическом, образовательном и государственном секторах США и ряда других стран после успешных атак методом распыления паролей в период с апреля по май 2024 года. В ходе этих атак они пытались получить доступ ко многим учетным записям, используя небольшое количество часто используемых паролей, чтобы избежать блокировки учетных записей.
«Хотя активность по распылению паролей наблюдалась последовательно во всех секторах, корпорация Microsoft выяснила, что группировка Peach Sandstorm использовала скомпрометированные учетные записи пользователей исключительно в секторе образования для получения операционной инфраструктуры. В этих случаях злоумышленники получали доступ к существующим подпискам Azure или создавали новую, используя скомпрометированную учетную запись для размещения своей инфраструктуры», — заявили в Microsoft.
Полученная ими под контроль инфраструктура Azure использовалась в последующих операциях, направленных против государственного, оборонного и космического секторов.
«За последний год Peach Sandstorm успешно скомпрометировал несколько организаций, в основном в вышеупомянутых секторах, используя специальные инструменты», — резюмировали в Microsoft.