Aktor Negara-Bangsa Iran Menggunakan Serangan Penyemprotan Kata Sandi yang Menargetkan Berbagai Sektor
15 Sep 2023Ruang BeritaSerangan Siber / Keamanan Kata Sandi
Aktor-aktor negara Iran telah melakukan serangan penyemprotan kata sandi terhadap ribuan organisasi di seluruh dunia antara bulan Februari dan Juli 2023, demikian temuan baru dari Microsoft.
Raksasa teknologi, yang melacak aktivitas dengan nama tersebut Badai Pasir Persik (sebelumnya Holmium), mengatakan musuh mengejar organisasi-organisasi di sektor satelit, pertahanan, dan farmasi untuk memfasilitasi pengumpulan intelijen guna mendukung kepentingan negara Iran.
Jika autentikasi ke akun berhasil, pelaku ancaman telah diamati menggunakan kombinasi alat yang tersedia untuk umum dan alat khusus untuk penemuan, persistensi, dan pergerakan lateral, diikuti dengan penyelundupan data dalam kasus tertentu.
Peach Sandstorm, juga dikenal dengan nama APT33, Elfin, dan Refined Kitten, pernah dikaitkan dengan serangan spear-phishing terhadap sektor kedirgantaraan dan energi di masa lalu, beberapa di antaranya melibatkan penggunaan malware wiper SHAPESHIFT. Dikatakan aktif setidaknya sejak 2013.
“Pada fase awal kampanye ini, Peach Sandstorm melakukan kampanye penyemprotan kata sandi terhadap ribuan organisasi di beberapa sektor dan wilayah,” kata tim Intelijen Ancaman Microsoft, dan mencatat bahwa beberapa aktivitas bersifat oportunistik.
Penyemprotan kata sandi mengacu pada teknik di mana pelaku jahat mencoba mengautentikasi ke banyak akun berbeda menggunakan satu kata sandi atau daftar kata sandi yang umum digunakan. Ini berbeda dengan serangan brute force yang mana satu akun ditargetkan dengan banyak kombinasi kredensial.
“Aktivitas yang diamati dalam kampanye ini selaras dengan pola hidup Iran, khususnya pada akhir Mei dan Juni, di mana aktivitas terjadi hampir secara eksklusif antara pukul 09.00 hingga 17.00 Waktu Standar Iran (IRST),” tambah Microsoft lebih lanjut.
Intrusi ditandai dengan penggunaan alat tim merah sumber terbuka seperti AzureHound, biner Golang untuk melakukan pengintaian, dan alat ROAD untuk mengakses data di lingkungan cloud target. Selain itu, serangan telah diamati menggunakan Azure Arc untuk membangun persistensi dengan menyambungkan ke langganan Azure yang dikendalikan oleh pelaku ancaman.
Rantai serangan alternatif yang dipasang oleh Peach Sandstorm telah melibatkan eksploitasi kelemahan keamanan di Atlassian Confluence (CVE-2022-26134) atau Zoho ManageEngine (CVE-2022-47966) untuk mendapatkan akses awal.
Beberapa aspek penting lainnya dari aktivitas pasca-kompromi adalah penerapan alat pemantauan dan manajemen jarak jauh AnyDesk untuk mempertahankan akses, EagleRelay untuk menyalurkan lalu lintas kembali ke infrastruktur mereka, dan memanfaatkan teknik serangan Golden SAML untuk pergerakan lateral.
“Peach Sandstorm juga membuat langganan Azure baru dan memanfaatkan akses yang diberikan langganan ini untuk melakukan serangan tambahan di lingkungan organisasi lain,” kata Microsoft.
“Ketika Peach Sandstorm semakin berkembang dan menggunakan kemampuan baru, organisasi harus mengembangkan pertahanan yang sesuai untuk memperkuat permukaan serangan mereka dan meningkatkan biaya untuk serangan ini.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
