Security Affairs 网站消息,微软近期发现疑似与伊朗有关联的 APT33 威胁组织(又名 Peach Sandstorm、Holmium、Elfin 和 Magic Hound)正在利用 FalseFont 恶意后门,瞄准全球各国的国防承包商。
微软在报告中指出,其研究团队观察到疑似伊朗民族国家行为体 APT33 威胁组织目前正试图向为国防工业基地(DIB)部门组织工作的员工,发送一个名为 FalseFont 的新型恶意后门。
据悉,2013 年,APT33 威胁组织开始活跃在互联网世界中,自 2016 年年中以来,该组织一直将目标锁定在航空业和与石化生产有关的能源公司,其中大部分攻击目标锁定在了中东,其他一些目标是美国、韩国和欧洲。
微软近期观察到 APT33 威胁组织正在试图向国防工业基地 (DIB) 部门组织的工作人员发送名为 FalseFont 的新开发后门,该定制后门支持多种功能,允许威胁攻击者远程控制受感染系统并获取敏感信息。值得一提的是,使用 FalseFont 是 APT33 发起攻击行动的的标志性特征,也侧面证实了组织一直在不断改进其武器库。
2023 年 11 月初,涉及 FalseFont 后门的网络攻击活动首次“面世”,FalseFont 的开发和使用正好与微软在过去一年中观察到的 APT 33 威胁组织活动高度一致,这种情况表明了 APT 33 威胁组织正在继续改进其技术。
2023 年 9 月,微软研究人员观察到 APT 33 威胁组织在某次网络攻击活动中进行了一系列密码喷射攻击。2023 年 2 月至 7 月期间,该活动针对全球数千个组织,其攻击的目标主要是卫星、国防和制药行业的组织。
密码喷射是一种暴力破解攻击,威胁攻击者根据带有应用程序默认密码的用户名列表进行暴力登录,在这种攻击情况下,威胁攻击者使用一个密码对应用程序上的多个不同账户进行攻击,以避免在使用多个密码对单个账户进行暴力登录时会触发的账户锁定。
APT 33 组织威胁攻击者一旦通过帐户验证,就会使用公开工具和自定义工具来查找其“感兴趣"的信息、并试图保持持久性、执行横向移动。
参考文章:https://securityaffairs.com/156366/apt/apt33-falsefont-targets-defense-sector.html
