Η Microsoft λέει ότι οι Ιρανοί hackers APT33 (ή Peach Sandstorm, HOLMIUM, Refined Kitten), που ασχολούνται με την κυβερνοκατασκοπεία, χρησιμοποιούν το νέο FalseFont backdoor malware για να επιτεθούν σε εταιρείες στον κλάδο της άμυνας.
Ο τομέας άμυνας που στοχεύεται σε αυτές τις επιθέσεις περιλαμβάνει περισσότερες από 100.000 εταιρείες και υπεργολάβους που ασχολούνται με την έρευνα και την ανάπτυξη στρατιωτικών οπλικών συστημάτων και εξαρτημάτων.
Οι Ιρανοί hackers APT33 δραστηριοποιούνται τουλάχιστον από το 2013. Έχουν στοχεύσει διάφορους βιομηχανικούς τομείς στις Ηνωμένες Πολιτείες, τη Σαουδική Αραβία και τη Νότια Κορέα.
Δείτε επίσης: Οι Ρώσοι hackers APT28 μολύνουν οργανισμούς με το HeadLace backdoor
Το FalseFont backdoor malware που χρησιμοποιείται στις νέες επιθέσεις, είναι ένα custom backdoor που παρέχει στους χειριστές του απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα και επιτρέπει εκτέλεση αρχείων και μεταφορά αρχείων στους διακομιστές εντολών και ελέγχου (C2).
Σύμφωνα με τη Microsoft, αυτό το malware παρατηρήθηκε για πρώτη φορά γύρω στις αρχές Νοεμβρίου 2023.
“Η ανάπτυξη και η χρήση του FalseFont είναι συνεπής με τη δραστηριότητα της Peach Sandstorm που παρατηρήθηκε από τη Microsoft τον περασμένο χρόνο, υποδηλώνοντας ότι η Peach Sandstorm συνεχίζει να βελτιώνει το έργο της“, δήλωσε η εταιρεία.
Οι υπερασπιστές δικτύου καλούνται να επαναφέρουν τα credentials για λογαριασμούς που έχουν βρεθεί στο στόχαστρο password spray επιθέσεων, για να μειώσουν το attack surface που στοχεύουν οι hackers APT33.
Θα πρέπει επίσης να ανακαλέσουν session cookies και να εφαρμόσουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για να προστατεύσουν τους λογαριασμούς και τα RDP ή Windows Virtual Desktop endpoints.
Εταιρείες άμυνας στο στόχαστρο των hackers
Τον Σεπτέμβριο, η Microsoft προειδοποίησε για μια άλλη εκστρατεία που συντονίστηκε από την ομάδα απειλών APT33 και στόχευε οργανισμούς σε όλο τον κόσμο (και στον τομέα της άμυνας), μέσω password spray επιθέσεων.
Δείτε επίσης: Οι hackers TA4557 στοχεύουν υπεύθυνους προσλήψεων με το More_Eggs backdoor
“Μεταξύ Φεβρουαρίου και Ιουλίου 2023, η Peach Sandstorm πραγματοποίησε ένα κύμα επιθέσεων password spray, προσπαθώντας να αποκτήσει πρόσβαση σε χιλιάδες περιβάλλοντα“, δήλωσε η ομάδα της Microsoft Threat Intelligence.
“Κατά τη διάρκεια του 2023, η Peach Sandstorm (APT33) έχει δείξει με συνέπεια ενδιαφέρον για τους οργανισμούς των ΗΠΑ και άλλων χωρών στους τομείς των δορυφόρων, της άμυνας και, σε μικρότερο βαθμό, του φαρμακευτικού τομέα“.
Οι παραπάνω επιθέσεις οδήγησαν σε κλοπή δεδομένων από περιορισμένο αριθμό θυμάτων.
Τα τελευταία χρόνια, αμυντικές υπηρεσίες και εργολάβοι σε όλο τον κόσμο έχουν επίσης βρεθεί στο στόχαστρο Ρώσων, Βορειοκορεατών και Κινέζων κρατικών hackers.
Είναι σημαντικό για τις αμυντικές εταιρείες να λάβουν κάποια μέτρα προστασίας:
Πρώτον, οι εταιρείες του αμυντικού τομέα πρέπει να εφαρμόσουν ισχυρές πολιτικές ασφάλειας πληροφοριών. Αυτό περιλαμβάνει την εκπαίδευση των υπαλλήλων σχετικά με τις απειλές κυβερνοασφάλειας και το πώς να αντιδράσουν σε αυτές, καθώς και την εφαρμογή αυστηρών προτύπων για την πρόσβαση και τη διαχείριση ευαίσθητων δεδομένων.
Δεύτερον, οι εταιρείες πρέπει να επενδύσουν σε προηγμένα συστήματα ασφάλειας που μπορούν να ανιχνεύσουν και να αντιμετωπίσουν τις απειλές κυβερνοασφάλειας. Αυτό μπορεί να περιλαμβάνει την ανάπτυξη εσωτερικών ικανοτήτων ή την ανάθεση σε εξωτερικούς προμηθευτές.
Δείτε επίσης: Οι hackers Kimsuky στοχεύουν ερευνητικά κέντρα για διανομή backdoor
Τρίτον, η χρήση της κρυπτογράφησης μπορεί να βοηθήσει στην προστασία των δεδομένων από την παραβίαση. Τα δεδομένα πρέπει να κρυπτογραφούνται κατά τη μεταφορά και την αποθήκευση, εξασφαλίζοντας ότι μόνο οι εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση σε αυτά.
Τέλος, οι εταιρείες πρέπει να δημιουργήσουν ένα σχέδιο ανάκαμψης από καταστροφές για να εξασφαλίσουν ότι μπορούν να ανακτήσουν τα δεδομένα και τις λειτουργίες τους γρήγορα μετά από μια επίθεση.
πηγή: www.bleepingcomputer.com