реклама
С июля 2021 года Центр разведки угроз Microsoft (MSTIC) отслеживает новый источник активности, направленный на американские и израильские оборонные компании, морские предприятия, присутствующие на Ближнем Востоке, и порты захода в Персидский залив, говорится в сообщении компании в блоге. Анализ этой деятельности привел компанию к выводу, что она поддерживается иранским государством
Стоковая фотография с изображением хакера
реклама
MSTIC присваивает названия DEV-#### появляющимся и неизвестным группам угроз до тех пор, пока у компании не появится высокая степень уверенности в их происхождении или в том, кто за ними стоит. Этой группировке было присвоено обозначение DEV-0343, и было установлено, что она активна в основном с воскресенья по четверг, с 7:30 утра до 8:30 вечера по иранскому времени (04:00:00 и 17:00:00 UTC), говорится в сообщении компании в блоге.
Целями являются не только оборонные компании
Деятельность DEV-0343 была направлена на оборонные компании, которые производят военно-промышленные радары, беспилотные технологии, спутниковые системы и системы связи экстренного реагирования для поддержки правительств США, ЕС и Израиля. Она также атаковала морские и грузовые транспортные компании, работающие на Ближнем Востоке. Среди его целей также "клиенты в области географических информационных систем (ГИС), пространственной аналитики, региональных портов прибытия в Персидском заливе", - говорится в сообщении в блоге.
Хакеры используют технику распыления паролей - когда одни и те же пароли циклически используются под разными именами пользователей для входа в сети в обход блокировки. Для этого используются эмуляторы браузеров Firefox или Chrome, которые маскируются с помощью в среднем 150-1000 уникальных IP-адресов Tor, говорится в сообщении компании.
На данный момент Microsoft обнаружила подобные атаки на более чем 250 пользователей Office 365, сфокусированные на двух конечных узлах - Autodiscover и ActiveSync в службах Exchange. Однако менее 20 пользователей были скомпрометированы, и компания связалась с клиентами, чтобы уведомить их и предпринять необходимые действия для защиты своих учетных записей.
Компания Microsoft считает, что характер действий указывает на то, что эта деятельность исходит с территории Ирана. По мнению авторов блога, доступ, полученный в результате этих атак, скорее всего, поможет Ирану компенсировать развивающуюся спутниковую программу.
Microsoft рекомендует клиентам включить многофакторную аутентификацию для защиты скомпрометированных учетных данных, использовать беспарольные решения, такие как Authenticator, пересмотреть и применять рекомендованные политики доступа и блокировать входящий трафик от служб анонимайзеров, где это возможно.
