Organizacije u sektoru odbrambene industrijske baze (DIB) nalaze se na nišanu iranskog hakera u sklopu kampanje osmišljene da isporuči nikad prije viđen backdoor pod nazivom FalseFont.
Nalaz dolazi od Microsofta, koji prati aktivnost pod nazivom Peach Sandstorm (bivši Holmium), koji je također poznat kao APT33, Elfin i Refined Kitten.
“FalseFont je prilagođeni backdoor sa širokim spektrom funkcionalnosti koje omogućavaju operaterima daljinski pristup zaraženom sistemu, pokretanje dodatnih datoteka i slanje informacija njegovim [komandnim i kontrolnim] serverima”, rekao je tim Microsoft Threat Intelligence na X-u ( ranije Twitter).
Prva zabilježena upotreba implantata bila je početkom novembra 2023.
Tehnološki gigant je dalje rekao da je najnoviji razvoj u skladu s prethodnim aktivnostima Peach Sandstorm-a i pokazuje kontinuisanu evoluciju vještina hakera.
U izvještaju objavljenom u septembru 2023. godine, Microsoft je povezao grupu sa password spray napadima koji su izvedeni protiv hiljada organizacija širom svijeta između februara i jula 2023. Upadi su prvenstveno izdvojili satelitski, odbrambeni i farmaceutski sektor.
Krajnji cilj, saopštila je kompanija, je olakšati prikupljanje obavještajnih podataka u cilju podrške iranskim državnim interesima. Vjeruje se da je Peach Sandstorm aktivna najmanje od 2013. godine.
Mandiant koji je u vlasništvu Googlea, u vlastitoj procjeni APT33 objavljenoj 2017. godine, opisao je protivnika da je “pokazao poseban interes” za organizacije u sektoru avijacije uključene u vojne i komercijalne kapacitete, kao i za organizacije u energetskom sektoru koje su povezane sa petrohemijskom proizvodnjom.”
Ovo otkriće dolazi nakon što je Izraelska nacionalna sajber direkcija (INCD) optužila Iran i Hezbolah da su pokušali neuspješno gađati bolnicu Ziv putem hakerskih ekipa po imenu Agrius i Libanese Cedar.
Agencija je također otkrila detalje o phishing kampanji u kojoj se lažno savjetovanje o sigurnosnom propustu u F5 BIG-IP proizvodima koristi kao mamac za isporuku wiper malvera na Windows i Linux sistemima.
Mamac za ciljani napad je kritična ranjivost zaobilaženja autentifikacije (CVE-2023-46747, CVSS rezultat: 9,8) koja je izašla na vidjelo krajem oktobra 2023. Razmjere kampanje trenutno su nepoznate.
Izvor: The Hacker News