İran bağlantılı tehdit aktörleri, ABD ve İsrail Savunma Teknolojisi şirketlerinin Office 365 kiracılarını kapsamlı şifre püskürtme saldırılarında hedeflemektedir.
Şifre püskürtme saldırılarında, tehdit aktörleri, aynı anda birden fazla hesapta aynı şifreleri kullanarak, farklı IP adreslerini kullanarak başarısız denemeleri gizlemelerine olanak tanıyan hesapları güçlendirmeye çalışırlar.
Bu, birden fazla başarısız oturum açma girişimini engellemek için tasarlanmış şifre kilitleme ve kötü amaçlı IP blokajı gibi otomatik savunmaları yenmelerini sağlar.
Aktivite kümesi geçici olarak DEV-0343'ü, Temmuz ayının sonundan bu yana takip eden Microsoft Thing Intelligence Center (MSTIC) ve Microsoft Digital Security University (DSU) araştırmacılar tarafından araştırılmıştır.
Microsoft'a göre, bu devam eden kötü amaçlı aktivite, başka bir İran bağlantılı tehdit aktörüyle uyumlu tekniklere ve hedefleri temel alan İran Ulusal İlgi Alanlarına sahiptir.
Dev-0343, İran'a dayanan İran'a ve diğer İran hack gruplarıyla sektörel ve coğrafi hedeflemede kapsamlı bir çapraz geçişe bağlı olarak da bağlandı.
Microsoft, "Bu dev-0343'ü Amerika Birleşik Devletleri, Avrupa Birliği ve İsrail hükümeti ortaklarını destekleyen savunma şirketlerinde, askeri sınıf radarlar, dron teknolojisi, uydu sistemleri ve acil müdahale iletişim sistemleri üreten savunma şirketlerinde gözlemlenmiştir.
"Daha fazla faaliyet, Coğrafi Bilgi Sistemlerinde (GIS), mekansal analitik, Pers Körfezi'ndeki bölgesel bölge limanları ve Orta Doğu'da bir iş odağına sahip birkaç deniz ve kargo taşımacılığı şirketlerini hedef almıştır."
Dev-0343 operatörlerinin son hedefi, İran'ın geliştirme uydu programını arttırmak için kullanılacak olan ticari uydu görüntülerine ve özel nakliye planlarına ve günlüklerine erişebilir.
Microsoft, hedeflenen veya tehlikeye giren müşterileri, hesaplarını güvence altına almak için ihtiyaç duydukları bilgileri sağlamıştır.
Saldırılar başladığından beri, 20'den az hedefiniz tehlikeye girmiştir, Microsoft, Office 365'in Multifactor kimlik doğrulaması (MFA) ile değiştirilmesinin, Dev-0343'ün şifre spreyi saldırılarına karşı esnektir.
Dev-0343 Autodiscover ve ActiveSync Exchange Bitiş noktalarını, aktif hesapları doğrulamak ve saldırılarını tamir etmek için numaralandırma / şifre püskürtme aracıyla hedefler.
Microsoft, "Genellikle, bir örgüt içindeki yüzlerce hesaba, boyutuna bağlı olarak, her hesabın onlarca'dan binlerce kez numaralandırılmasını hedefliyorlar" diyor.
"Ortalama olarak, 150 ila 1.000'den fazla benzersiz tor proxy IP adresleri, her kuruluşa karşı saldırılarda kullanılır."
Bu aktiviteye maruz kalan şirketler, DEV-0343 davranışlarını ve taktiklerini, günlükler ve şebeke aktivitelerinde bakması için teşvik edilir:
Microsoft, Dev-0343'ün saldırılarına karşı bir savunma olarak aşağıdaki önlemleri almayı önerir:
MSTIC ve DSU araştırmacıları ayrıca Microsoft 365 Defender ve Azure Sentinel gelişmiş avcılık sorgularını, DEV-0343 ile ilgili aktiviteyi tespit etmek için ekipleri gizlemek için Blog Post'un sonundaki gelişmiş avcılık sorgularını paylaştı.
Govt Hackers, İK çalışanlarını İsrail hedeflerine vurmak için taklit eder.
Microsoft: Rus devlet bilgisayar korsanları ABD Govt ajanslarına saldırıların% 53'ünde
Hacker'lar havacılık, telco firmalarında gizli shellclient kötü amaçlı yazılım kullanıyor
Wirex DDOS Botnet admin otel zinciri saldırmak için ücretlendirildi
Ulusötesi dolandırıcılık halkası, ordu üyelerinden, gazilerden milyonlarca çaldı
Kaynak: Bleeping Computer