Peach Sandstorm (HOLMIUM) APT IOCs

security IOC

Начиная с февраля 2023 года, компания Microsoft наблюдала активность по подбору паролей в отношении тысяч организаций, осуществляемую агентом, которого Microsoft отслеживает как Peach Sandstorm (HOLMIUM).

Peach Sandstorm (HOLMIUM)

Peach Sandstorm - это иранский национальный субъект, который в последнее время преследует организации спутникового, оборонного и фармацевтического секторов по всему миру. Основываясь на профиле организаций-жертв и наблюдаемой последующей активности вторжения, Microsoft считает, что эта кампания первоначального доступа, скорее всего, используется для сбора разведданных в поддержку государственных интересов Ирана.

В случаях успешной аутентификации учетной записи Peach Sandstorm Microsoft наблюдала, как группа использовала комбинацию общедоступных и пользовательских инструментов для обнаружения, сохранения и бокового перемещения. В небольшом числе случаев вторжения было замечено, что Peach Sandstorm осуществляет утечку данных из взломанной среды.

Peach Sandstorm - иранская государственная группировка, известная своими атаками на организации в разных странах. В прошлых атаках Peach Sandstorm преследовала цели в авиации, строительстве, обороне, образовании, энергетике, финансовых услугах, здравоохранении, правительстве, спутниковой связи и телекоммуникациях. Деятельность, которую Microsoft приписывает Peach Sandstorm, пересекается с публичными сообщениями о группах, известных как APT33, Elfin и Refined Kitten.

На протяжении всего 2023 года Peach Sandstorm проявляла постоянный интерес к организациям спутникового, оборонного и, в меньшей степени, фармацевтического секторов. На начальном этапе этой кампании Peach Sandstorm провела кампании по распылению паролей против тысяч организаций в различных отраслях и географических регионах. Хотя Microsoft заметила несколько организаций, ранее уже подвергавшихся атакам Peach Sandstorm, объем активности и круг организаций позволяют предположить, что по крайней мере часть первоначальных действий носит оппортунистический характер.

В прошлых операциях Peach Sandstorm в значительной степени, но не исключительно, использовала атаки с распылением паролей в качестве средства получения доступа к интересующим ее объектам. В некоторых случаях Peach Sandstorm использовала эту технологию для компрометации промежуточной цели и получения доступа к последующим средам. Например, в 2019 году Peach Sandstorm провела волну атак, совпавшую с ростом напряженности в отношениях между США и Исламской Республикой Иран.

В отличие от операций по подбору паролей паролей, которые по определению являются шумными, часть действий Peach Sandstorm в 2023 году после компрометации была скрытной и изощренной. Многие тактические приемы, методы и процедуры (TTP), применяемые в "облачных" средах в ходе последних кампаний, значительно превосходят возможности, использовавшиеся Peach Sandstorm в прошлом.

В период с февраля по июль 2023 года Peach Sandstorm осуществил серию атак с использованием паролей, пытаясь пройти аутентификацию в тысячах сред. Атаки с использованием паролей - это метод, при котором угрожающие лица пытаются авторизоваться во многих различных учетных записях, используя один пароль или список часто используемых паролей. В отличие от атак методом "грубой силы", направленных на одну учетную запись с использованием множества паролей, атаки с использованием паролей позволяют злоумышленникам максимально увеличить шансы на успех и минимизировать вероятность автоматической блокировки учетных записей.

Даже одна скомпрометированная учетная запись может позволить противнику провести разведку, переместиться в другое место или получить доступ к важным ресурсам, зачастую не привлекая внимания защитников.

Длительные кампании по взлому паролей позволяют получить представление о том, как действуют противники. Активность, наблюдавшаяся в ходе этой кампании, соответствовала иранской модели жизни, особенно в конце мая и июне, когда активность происходила почти исключительно между 9:00 утра и 17:00 вечера по иранскому стандартному времени (IRST). Несмотря на то что компания Peach Sandstorm и раньше проводила масштабные кампании по распылению паролей, элементы последней кампании были уникальными. В частности, Peach Sandstorm постоянно проводила "спреи" паролей с IP-адресов TOR и использовала пользовательский агент "go-http-client".

В небольшом подмножестве случаев, когда Peach Sandstorm успешно аутентифицировался под учетной записью в целевой среде, Microsoft наблюдала, как угрожающий субъект использовал AzureHound или Roadtools для проведения разведки в Microsoft Entra ID (ранее Azure Active Directory). В этой кампании Peach Sandstorm использовал AzureHound, двоичный файл Go, который собирает данные из Microsoft Entra ID и Azure Resource Manager через Microsoft Graph и Azure REST API, в качестве средства сбора информации об интересующей системе. Аналогичным образом Roadtools, фреймворк для доступа к Microsoft Entra ID, позволил Peach Sandstorm получить доступ к данным в облачной среде цели и удобно сбрасывать интересующие данные в единую базу данных.

AzureHound и Roadtools обладают функциональностью, которая используется защитниками, "красными командами" и противниками. Те же функции, которые делают эти инструменты полезными для легальных пользователей, например, встроенные возможности по исследованию и удобному сбросу данных в единую базу, делают эти инструменты привлекательными для злоумышленников, ищущих информацию о среде объекта атаки или из нее.

В случаях, когда Microsoft наблюдала именно такую цепочку вторжений, угрожающий субъект использовал один или несколько механизмов сохранения. В некоторых случаях Peach Sandstorm создавал новую подписку Azure на целевого арендатора и/или использовал ранее скомпрометированные ресурсы Azure. Эти подписки впоследствии использовались для обеспечения связи с инфраструктурой Peach Sandstorm.

Peach Sandstorm также использовала Azure Arc - возможность, позволяющую пользователям защищать, разрабатывать и эксплуатировать инфраструктуру, приложения и сервисы Azure в любом месте, для сохранения в скомпрометированных средах. В этой кампании Peach Sandstorm устанавливала клиент Azure Arc на устройство в скомпрометированной среде и подключала его к подписке Azure, контролируемой Peach Sandstorm. Это позволило Peach Sandstorm контролировать устройства в локальной среде из "облака" Peach Sandstorm.

В ходе второй волны активности Peach Sandstorm также предпринимались попытки использования уязвимостей с публичным доказательством концепции (POC) в Zoho ManageEngine или Confluence для получения доступа к окружению целей.

  • CVE-2022-47966 - это уязвимость удаленного выполнения кода, затрагивающая подмножество локальных продуктов Zoho ManageEngine. Microsoft рекомендует организациям, использующим уязвимые приложения, устранить эту уязвимость, поскольку было замечено несколько групп, эксплуатирующих эту уязвимость.
  • CVE-2022-26134 - уязвимость удаленного выполнения кода в Confluence Server и Data Center. Рекомендации, которые помогут организациям защитить себя от эксплуатации различных уязвимостей, включая CVE-2022-26134, приведены в разделе рекомендаций данного отчета.

Следующие действия после компрометации затронули организации оборонного, спутникового и фармацевтического секторов:

  • В ряде вторжений этой кампании Peach Sandstorm использовала AnyDesk, коммерческое средство удаленного мониторинга и управления (RMM) для поддержания доступа к цели. AnyDesk обладает целым рядом возможностей, позволяющих пользователям получать удаленный доступ к сети, оставаться в скомпрометированной среде и обеспечивать командование и управление (C2). Удобство и полезность такого инструмента, как AnyDesk, усиливается тем, что он может быть разрешен средствами контроля приложений в средах, где он используется на законных основаниях сотрудниками службы ИТ-поддержки или системными администраторами.
  • В ходе вторжения, совершенного в марте 2023 года, компания Peach Sandstorm провела атаку Golden SAML для получения доступа к облачным ресурсам объекта. В ходе атаки Golden SAML злоумышленник похищает закрытые ключи с локального сервера Active Directory Federated Services (AD FS) и использует их для создания SAML-токена, которому доверяет среда Microsoft 365. В случае успеха злоумышленник может обойти аутентификацию AD FS и получить доступ к федеративным службам под видом любого пользователя.
  • Как минимум в одном случае Microsoft наблюдала, как Peach Sandstorm использовал легитимный исполняемый файл VMWare для перехвата порядка поиска. Перехват порядка поиска DLL позволяет злоумышленникам внедрять вредоносный код в среду так, чтобы он не выделялся на фоне обычной работы.
  • В нескольких средах Microsoft наблюдала, как Peach Sandstorm использовала EagleRelay для туннелирования трафика обратно в свою инфраструктуру. В этих случаях Peach Sandstorm создавала новую виртуальную машину в скомпрометированной подписке Azure. На этих виртуальных машинах запускался пользовательский инструмент EagleRelay для туннелирования трафика между системами, контролируемыми агентами, и системами целей. По крайней мере в одном случае Microsoft также заметила, что Peach Sandstorm пыталась перемещаться в скомпрометированной среде с помощью протокола удаленного рабочего стола (RDP).

Indicators of Compromise

IPv4

  • 108.62.118.240
  • 192.52.166.76
  • 76.8.60.64
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий