Peach Sandstorm,一个伊朗黑客组织,针对全球不同行业,该组织与下列组织有关:
- APT33
- Elfin,埃尔芬
- Refined Kitten,精制小猫
这个得到国家支撑的黑客集团主要关注以下部门和行业
- 航空
- 建设
- 国防
- 教育
- 能源
- 资金
- 医疗保健
- 政府
- 卫星
- 电信
2023年,该集团对卫星、国防和制药行业表现出持续的兴趣。使用密码喷雾战役,桃沙尘暴表现出机会主义行为,有依赖这种策略的历史。
然而,除此之外,2023年更隐秘的活动与过去嘈杂的操作形成了鲜明对比,展示了先进的基于云的技术。
微软威胁情报团队的网络安全研究人员最近发现了一个名为“FalseFont”的新后门,使威胁行为者能够入侵微软的Windows操作系统。据报道,伊朗黑客组织Peach Sandstorm开发了这个新后门。
技术分析
此自定义后门FalseFont为其操作员提供以下功能:-
- 远程访问
- 文件启动
- 数据传输到C2服务器
这个名为FalseFont的自定义后门于2023年11月初在针对其目标的行动中被检测到。
FalseFont的开发与微软对Peach Sandstorm长达一年的观察一致,表明他们新开发的自定义后门正在不断增强。
此外,预装Windows操作系统的微软安全解决方案Microsoft Defender Antivirus检测到“FalseFont”后门为:-
- MSIL/FalseFont.A!dha
下面,我们提到了IOC(失陷指标),这些IOC将帮助组织在其环境中检测这种复杂的后门:-
- C2:Digitalcodecrafters[.]com
- SHA-256:364275326bbfc4a3b89233dadaf330a3d149ab774678342a40644ad9f8d614
微软威胁情报团队的网络安全研究人员正在积极继续他们正在进行的调查,试图通过微软卫士XDR追查桃子沙尘暴的所有相关活动。
缓解措施
下面我们提到了微软威胁情报团队的网络安全研究人员提供的所有缓解措施:-
- 重置密码喷雾攻击中目标帐户的密码,尤其是那些具有系统级权限的帐户。
- 撤销攻击者对受损帐户所做的对多因素身份验证(MFA)设置的任何更改。
- 实施Azure安全基准测试和身份基础设施安全的一般最佳实践。
- 根据定义的条件创建条件访问策略以控制环境访问。
- 使用条件访问阻止Microsoft Entra ID的旧身份验证,以防止密码喷雾攻击。
- 启用AD FS web应用程序代理外部网锁定,以防止密码暴力泄露。
- 在Microsoft Entra ID环境中练习最低权限和审核特权帐户活动。
- 为AD FS部署Microsoft Entra ID Connect Health,以捕获失败的尝试和日志中的IP地址。
- 使用Microsoft Entra ID密码保护来检测和阻止弱密码和变体。
- 在Microsoft Entra ID中启用身份保护,以监视和创建风险登录策略。
- 对特权账户使用MFA,对普通账户使用基于风险的MFA,以减轻密码喷洒攻击(password spray attacks)。
- 考虑过渡到无密码身份验证方法,如Azure MFA、证书或Windows Hello for Business。
- 使用MFA保护RDP或Windows虚拟桌面端点,以加强抵御攻击。
- 将AD FS服务器视为第0层资产,使用类似于域控制器的措施对其进行保护。
- 练习凭据卫生,包括登录限制和控制,如易受危害的系统上的Windows防火墙。
- 考虑迁移到Microsoft Entra ID身份验证,以降低内部部署泄露的风险。
原文链接:https://cybersecuritynews.com/iranian-hackers-developed-a-new-backdoor-to-hack-windows/
