Microsoft affirme qu’un groupe de menace soutenu par l’Iran a ciblé des milliers d’organisations aux États-Unis et dans le monde entier lors d’attaques par pulvérisation de mots de passe depuis février 2023.
Les pirates informatiques ont également volé des informations sensibles à un nombre limité de victimes dans les secteurs de la défense, des satellites et de la pharmacie.
Traqué sous le nom d’APT33 (alias Peach Sandstorm, HOLMIUM ou Refined Kitten), le groupe de cyberespionnage est actif depuis au moins 2013, attaquant des entités de divers secteurs industriels (notamment le gouvernement, la défense, la recherche, la finance et l’ingénierie) aux États-Unis. États-Unis, Arabie Saoudite et Corée du Sud.
« Entre février et juillet 2023, Peach Sandstorm a mené une vague d’attaques par pulvérisation de mots de passe tentant de s’authentifier auprès de milliers d’environnements », a déclaré l’équipe Microsoft Threat Intelligence.
« Tout au long de 2023, Peach Sandstorm a constamment démontré son intérêt pour les organisations américaines et d’autres pays dans les secteurs des satellites, de la défense et, dans une moindre mesure, pharmaceutique », a déclaré Sherrod DeGrippo, directeur de la stratégie de renseignement sur les menaces de Microsoft à Breachtrace.
Dans les attaques par pulvérisation de mot de passe, les acteurs malveillants tentent de se connecter à de nombreux comptes en utilisant un seul mot de passe ou une liste de mots de passe couramment utilisés.
Cette tactique diffère des attaques par force brute, où un seul compte est ciblé avec une longue liste de mots de passe. La pulvérisation de mots de passe permet aux attaquants d’augmenter considérablement leurs chances de succès tout en réduisant le risque de déclenchement de verrouillages automatiques de comptes.
Contrairement à la pulvérisation bruyante de mots de passe, les attaquants ont également utilisé des exploits ciblant les appareils Confluence et ManageEngine non corrigés exposés en ligne pour pirater les réseaux des cibles.
Après des tentatives réussies, les pirates APT33 ont utilisé les cadres de sécurité open source AzureHound ou Roadtools pour effectuer une reconnaissance dans l’Azure Active Directory des victimes et pour récolter des données de leurs environnements cloud.
Ils ont également utilisé des informations d’identification Azure compromises, créé de nouveaux abonnements Azure sur les locataires des victimes ou abusé d’Azure Arc à des fins de persistance pour contrôler les appareils sur site au sein du réseau des victimes.
Les acteurs APT33 ont également été observés utilisant des techniques d’attaque Golden SAML pour le mouvement latéral, déployant AnyDesk pour la persistance, chargeant des DLL malveillantes personnalisées pour exécuter des charges utiles malveillantes et employant un outil de tunneling connu sous le nom d’EagleRelay pour tunneliser le trafic malveillant vers leur système de commande et de contrôle (C2 ) Infrastructure.
« Sur la base du profil des organisations victimes ciblées et des activités d’intrusion ultérieures observées, Microsoft estime que cette campagne d’accès initiale est probablement utilisée pour faciliter la collecte de renseignements en faveur des intérêts de l’État iranien », a déclaré Redmond.
« La plupart des tactiques, techniques et procédures (TTP) basées sur le cloud observées dans ces campagnes les plus récentes sont sensiblement plus sophistiquées que les capacités utilisées par Peach Sandstorm dans le passé », a ajouté la société.
Comme l’a déclaré Alex Weinert, directeur de la sécurité des identités de Microsoft, il y a trois ans, les attaques par pulvérisation de mots de passe comptent parmi les attaques d’authentification les plus populaires, représentant plus d’un tiers des compromissions de comptes d’entreprise.
En juillet 2021, la NSA a déclaré que le groupe de piratage militaire russe APT28 avait ciblé le gouvernement américain et les agences du ministère de la Défense lors d’attaques par pulvérisation de mots de passe lancées à partir de clusters Kubernetes.
Quelques mois plus tard, en octobre 2021, Microsoft a également repéré le groupe DEV-0343, lié à l’Iran, et le groupe Nobelium, parrainé par la Russie, en train de violer des entreprises de technologie de défense et des fournisseurs de services gérés (MSP) lors d’attaques par pulvérisation de mots de passe.