Το DEV-0343 είναι ένα νέο σύμπλεγμα δραστηριοτήτων που το Microsoft Threat Intelligence Center (MSTIC) παρατήρησε για πρώτη φορά και άρχισε να το παρακολουθεί στα τέλη Ιουλίου 2021. Το MSTIC παρατήρησε το DEV-0343 να εκτελεί εκτεταμένο password spraying σε περισσότερους από 250 ενοικιαστές του Office 365, με έμφαση στις ΗΠΑ και ισραηλινές αμυντικές τεχνολογικές εταιρείες, λιμένες εισόδου του Περσικού Κόλπου ή παγκόσμιες εταιρείες θαλάσσιων μεταφορών με επιχειρηματική παρουσία στη Μέση Ανατολή.
Δείτε Ακόμα: Hacked site του Donald Trump από τον Τούρκο RootAyyildiz και τους 1877 Team
Λιγότεροι από 20 από τους στοχευμένους ενοικιαστές παραβιάστηκαν επιτυχώς, αλλά το DEV-0343 συνεχίζει να εξελίσσει τις τεχνικές τους για να βελτιώσει τις επιθέσεις του. Το MSTIC σημείωσε ότι οι λογαριασμοί του Office 365 με ενεργοποiημένο multifactor authentication (MFA) είναι ασφαλείς έναντι των password spraying.
Η Microsoft χρησιμοποιεί προσδιορισμούς DEV-#### ως προσωρινό όνομα που δίνεται σε μια άγνωστη, αναδυόμενη ή αναπτυσσόμενη ομάδα απειλών, επιτρέποντας στο MSTIC να το παρακολουθεί ως μοναδικό σύνολο πληροφοριών έως ότου αποκτήσει υψηλή εμπιστοσύνη για την προέλευση ή την ταυτότητα του hacker πίσω από την hacking επιχείρηση.
Δείτε Ακόμα: Η Apache Web Server ευπάθεια επηρεάζει servers στην Ελλάδα! [Τεχνική Ανάλυση]
Μόλις πληροί τα κριτήρια, ένας DEV μετατρέπεται σε επώνυμο hacker. Όπως και με κάθε παρατηρούμενη δραστηριότητα εθνικού φορέα, η Microsoft έχει απευθείας ειδοποιήσει τους πελάτες που έχουν στοχοποιηθεί ή παραβιαστεί, παρέχοντάς τους τις πληροφορίες που χρειάζονται για να εξασφαλίσουν τους λογαριασμούς τους.
Στόχοι της δραστηριότητας DEV-0343 αποτελούν αμυντικές εταιρείες που υποστηρίζουν Ηνωμένες Πολιτείες, Ευρωπαϊκή Ένωση και ισραηλινούς κυβερνητικούς εταίρους που παράγουν στρατιωτικά ραντάρ, δορυφορικά συστήματα και συστήματα επικοινωνίας έκτακτης ανάγκης. Η περαιτέρω δραστηριότητα έχει στοχεύσει πελάτες σε συστήματα γεωγραφικών πληροφοριών (GIS), χωρικές αναλύσεις, περιφερειακούς λιμένες εισόδου στον Περσικό Κόλπο και αρκετές εταιρείες θαλάσσιων και μεταφορών φορτίου με επιχειρηματικό επίκεντρο τη Μέση Ανατολή.
Δείτε Ακόμα: Η ουκρανική αστυνομία συνέλαβε χειριστή DDoS που ελέγχει 100.000 bots
Αυτή η παράνομη δραστηριότητα πιθανότατα υποστηρίζει τα εθνικά συμφέροντα της Ισλαμικής Δημοκρατίας του Ιράν με βάση την ανάλυση του τρόπου ζωής και την εκτεταμένη διασταύρωση στη γεωγραφική και τομεακή στόχευση με Ιρανούς hackers. Η Microsoft εκτιμά ότι αυτή η στόχευση υποστηρίζει την ιρανική κυβέρνηση για την παρακολούθηση αντιπάλων υπηρεσιών ασφαλείας και θαλάσσιων μεταφορών στη Μέση Ανατολή για να ενισχύσει τα σχέδια έκτακτης ανάγκης.
Η απόκτηση πρόσβασης σε εμπορικές δορυφορικές εικόνες και ιδιόκτητα σχέδια και αρχεία καταγραφής θα μπορούσε να βοηθήσει το Ιράν να αντισταθμίσει το αναπτυσσόμενο δορυφορικό του πρόγραμμα. Δεδομένων των προηγούμενων κυβερνο -στρατιωτικών επιθέσεων του Ιράν κατά ναυτιλιακών και θαλάσσιων στόχων, η Microsoft πιστεύει ότι αυτή η δραστηριότητα αυξάνει τον κίνδυνο για τις εταιρείες σε αυτούς τους τομείς και ενθαρρύνουμε τους πελάτες της σε αυτές τις βιομηχανίες και γεωγραφικές περιοχές να αναθεωρήσουν τις πληροφορίες που μοιράζονται για να αμυνθούν από την απειλή.
Δείτε Ακόμα: Η Pacific City Bank δέχτηκε επίθεση από το AvosLocker ransomware
Το DEV-0343 πραγματοποιεί εκτεταμένα password sprays που προσομοιώνουν ένα πρόγραμμα περιήγησης Firefox και χρησιμοποιούν IP που φιλοξενούνται σε δίκτυο μεσολάβησης Tor. Είναι πιο δραστήριοι μεταξύ Κυριακής και Πέμπτης μεταξύ 7:30 π.μ. και 8:30 μ.μ. με σημαντική πτώση στη δραστηριότητα πριν από τις 7:30 π.μ. και μετά τις 8: 30 μ.μ. (Ώρα Ιράν). Συνήθως στοχεύουν δεκάδες έως εκατοντάδες λογαριασμούς σε έναν οργανισμό, ανάλογα με το μέγεθος.
Οι hackers πίσω από το DEV-0343 στοχεύουν συνήθως σε δύο Exchange endpoints – Autodiscover και ActiveSync – ως χαρακτηριστικό του enumeration/password spray εργαλείου που χρησιμοποιούν. Αυτό επιτρέπει στο DEV-0343 να επικυρώσει ενεργούς λογαριασμούς και κωδικούς πρόσβασης και να βελτιώσει περαιτέρω τη password spray δραστηριότητα.
Με πληροφορίες από www.microsoft.com
