Microsoft обнаружила, что иранский хакерский коллектив Peach Sandstorm разрабатывает свой собственный многоступенчатый бэкдор под названием Tickler и использует его для атак на объекты в секторах спутниковой связи, коммуникаций, нефти и газа, а также в государственном секторе в США и Объединенных Арабских Эмиратах. Они также проводят атаки с использованием паролей в образовательном секторе, чтобы собирать разведданные. Кроме того, они используют социальную инженерию в профессиональной сети LinkedIn. Microsoft информирует общественность об этих методах, чтобы повысить осведомленность и помочь организациям защитить себя от таких угроз.
Peach Sandstorm APT
За период с апреля по июль 2024 года Microsoft отслеживала деятельность Peach Sandstorm и обнаружила, что они развернули новый многоступенчатый бэкдор под названием Tickler. Он был использован для атак на цели в секторах спутниковой связи, коммуникаций, нефти и газа, а также в федеральных и государственных органах власти в США и Объединенных Арабских Эмиратах. Peach Sandstorm продолжают проводить атаки с использованием паролей в образовательном секторе для получения доступа к нужной им инфраструктуре, а также в спутниковом, правительственном и оборонном секторах для сбора разведданных. Они также используют LinkedIn для сбора информации и возможной социальной инженерии в организациях высшего образования, спутниковой связи и обороны.
Microsoft считает, что Peach Sandstorm связана с иранским Корпусом стражей исламской революции и их основной целью является сбор разведывательных данных в интересах Ирана. Microsoft отслеживает их кампании и предупреждает клиентов, которые оказались жертвами атаки, предоставляя им необходимую информацию для защиты их среды. В рамках этого исследования Microsoft делится результатами исследования с общественностью, чтобы повысить осведомленность об этих угрозах и научить организации, как защитить себя от них.
Peach Sandstorm использует различные методы в своей деятельности. Они проводят атаки с использованием паролей, пытаясь пройти аутентификацию в различных учетных записях с использованием общих паролей. Они также используют LinkedIn для сбора разведданных, выдают себя за студентов, разработчиков и менеджеров по привлечению талантов из США и Западной Европы. Они уже удалены.
Indicators of Compromise
Domains
- centersoftwaresupports.azurewebsites.net
- getsdervicessupoortss.azurewebsites.net
- getservicessuports.azurewebsites.net
- getservicessupports.azurewebsites.net
- getsupportsservices.azurewebsites.net
- nodetestservers.azurewebsites.net
- satellite2.azurewebsites.net
- satellitegardens.azurewebsites.net
- satellitespecialists.azurewebsites.net
- satservicesdev.azurewebsites.net
- servicessupports.azurewebsites.net
- softwareservicesupport.azurewebsites.net
- softwareservicesupports.azurewebsites.net
- subreviews.azurewebsites.net
- supportsoftwarecenter.azurewebsites.net
- websupportprotection.azurewebsites.net
SHA256
- 5df4269998ed79fbc997766303759768ce89ff1412550b35ff32e85db3c1f57b
- 711d3deccc22f5acfd3a41b8c8defb111db0f2b474febdc7f20a468f67db0350
- 7eb2e9e8cd450fc353323fd2e8b84fbbdfe061a8441fd71750250752c577d198
- ccb617cc7418a3b22179e00d21db26754666979b4c4f34c7fda8c0082d08cec4
- fb70ff49411ce04951895977acfc06fa468e4aa504676dedeb40ba5cea76f37f
