.
O grupo de hackers apoiado pelo governo iraniano conhecido como APT 33 está ativo há mais de 10 anos, conduzindo operações agressivas de espionagem contra uma gama diversificada de vítimas dos setores público e privado ao redor do mundo, incluindo alvos de infraestrutura crítica. E embora o grupo seja particularmente conhecido por ataques estratégicos, mas tecnicamente simples, como “pulverização de senhas”, ele também se envolveu no desenvolvimento de ferramentas de hacking mais sofisticadas, incluindo malware potencialmente destrutivo, adaptado para interromper sistemas de controle industrial. Agora, descobertas da Microsoft divulgadas na quarta-feira indicam que o grupo continua a desenvolver suas técnicas com um novo backdoor multiestágio.
A Microsoft Threat Intelligence diz que o grupo, que chama de Peach Sandstorm, desenvolveu malware personalizado que os invasores podem usar para estabelecer acesso remoto às redes das vítimas. O backdoor, que a Microsoft chamou de “Tickler” por algum motivo, infecta um alvo após o grupo de hackers obter acesso inicial por meio de pulverização de senha ou engenharia social. Começando em abril e até julho, os pesquisadores observaram o Peach Sandstorm implantando o backdoor contra vítimas em setores como satélite, equipamentos de comunicação e petróleo e gás. A Microsoft também diz que o grupo usou o malware para atingir entidades governamentais federais e estaduais nos Estados Unidos e nos Emirados Árabes Unidos.
“Estamos compartilhando nossa pesquisa sobre o uso do Tickler pelo Peach Sandstorm para aumentar a conscientização sobre a evolução do tradecraft desse agente de ameaças”, disse a Microsoft Threat Intelligence na quarta-feira em seu relatório. “Essa atividade é consistente com os objetivos persistentes de coleta de inteligência do agente de ameaças e representa a mais recente evolução de suas operações cibernéticas de longa data.”
Os pesquisadores observaram o Peach Sandstorm implantando o Tickler e, em seguida, manipulando a infraestrutura de nuvem Azure da vítima usando as assinaturas Azure dos hackers para obter controle total dos sistemas alvo. A Microsoft diz que notificou os clientes que foram impactados pelo direcionamento observado pelos pesquisadores.
O grupo também continuou seus ataques de pulverização de senhas de baixa tecnologia, de acordo com a Microsoft, nos quais hackers tentam acessar muitas contas-alvo adivinhando senhas vazadas ou comuns até que uma os deixe entrar. O Peach Sandstorm tem usado essa técnica para obter acesso aos sistemas-alvo tanto para infectá-los com o backdoor Tickler quanto para outros tipos de operações de espionagem. Desde fevereiro de 2023, os pesquisadores dizem que observaram os hackers “realizando atividades de pulverização de senhas contra milhares de organizações”. E em abril e maio de 2024, a Microsoft observou o Peach Sandstorm usando pulverização de senhas para atingir organizações dos Estados Unidos e da Austrália que estão nos setores espacial, de defesa, governamental e educacional.
“O Peach Sandstorm também continuou conduzindo ataques de pulverização de senhas contra o setor educacional para aquisição de infraestrutura e contra os setores de satélite, governo e defesa como alvos primários para coleta de inteligência”, escreveu a Microsoft.
Os pesquisadores dizem que, além dessa atividade, a gangue tem continuado suas operações de engenharia social na rede social profissional LinkedIn, de propriedade da Microsoft, que, segundo eles, datam de pelo menos novembro de 2021 e continuaram até meados de 2024. A Microsoft observou o grupo criando perfis no LinkedIn que supostamente são de estudantes, desenvolvedores de software e gerentes de aquisição de talentos que supostamente estão sediados nos EUA e na Europa Ocidental.
“Peach Sandstorm usado principalmente [these accounts] para conduzir coleta de inteligência e possível engenharia social contra o ensino superior, setores satélites e indústrias relacionadas”, escreveu a Microsoft. “As contas identificadas do LinkedIn foram posteriormente retiradas.”
Os hackers iranianos têm sido prolíficos e agressivos no cenário internacional há anos e não mostraram sinais de desaceleração. No início deste mês, surgiram relatos de que um grupo iraniano diferente tem como alvo o ciclo eleitoral de 2024 nos EUA, incluindo ataques contra as campanhas de Trump e Harris.
.
