Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • گزارش مایکروسافت از فعالیت APT ایرانی Peach Sandstorm
  • اخبار
  • بازیگران تهدید
  • مقالات

گزارش مایکروسافت از فعالیت APT ایرانی Peach Sandstorm

On شهریور 27, 1402
seyyid
Share
زمان مطالعه: 7 دقیقه

مایکروسافت یه گزارشی در خصوص فعالیت های اخیر ، APT منتسب به دولت ایران، Peach Sandstorm (HOLMIUM) منتشر کرده که در این پست به بررسیش پرداختیم.

محققای مایکروسافت از فوریه 2023، متوجه فعالیتهای Password Spray علیه هزاران سازمان شدن که اونو به گروه Peach Sandstorm نسبت دادن. این گروه اخیرا سازمانهایی رو در بخش ماهواره ای ، دفاعی و دارویی در سراسر جهان هدف قرار داده. مایکروسافت گفته که احتمالا این فعالیت ها برای دسترسی اولیه انجام میشه تا جمع آوری اطلاعات متناسب با منافع همسو با دولت ایران رو تسهیل کنه.

در صورتیکه گروه لاگین موفق به اکانتی داشته، با استفاده از یسری ابزار عمومی و سفارشی ، اقدام به بررسی ، پرسیست و حرکت جانبی میکرده. در موارد کمی ، این گروه تونسته داده هایی رو استخراج کنه.

مایکروسافت هدف از این گزارش رو آمادگی و آگاهی سازمانها به دلیل فعالیت های انبوه و هدفمند این گروه اعلام کرده.

 

معرفی Peach Sandstorm :

این گروه رو که به دولت ایران نسبت دادن، سازمانهایی رو در چندین کشور هدف قرار داده. در حملات قبلیشون اهدافی رو در بخش های هوانوردی ، ساخت ، آموزش ، انرژی ، خدمات مالی ، مراقبت های بهداشتی ، دولتی ، ماهواره ای و مخابراتی هدف قرار داده بودن. گزارشهایی که مایکروسافت از این گروه منتشر کرده با فعالیت گروههای APT33 و Elfin و Refined Kitten همپوشانی داره.

در سال 2023، این گروه به اهدافی در بخش های ماهواره ای ، دفاعی و تا حدودی داروسازی علاقه نشون داده. در مرحله اول کمپین، گروه از Password Spray علیه هزاران سازمان در بخش ها و جغرافیای مختلف استفاده کرده.

مایکروسافت گفته که با توجه به فعالیت های قبلی گروه، حجم فعالیت ها و دامنه سازمانها، حداقل یه موردش فرصت طلبانه بوده.

برخلاف عملیات Password Spray که پر سروصدا هستش، فعالیت های این گروه بعد از دسترسی اولیه مخفیانه و پیچیده بوده. خیلی از TTP های مبتنی بر ابر این گروه، بطور کلی فراتر از فعالیت های قبلی این گروه بوده.

 

 

زنجیره نفوذ :

مایکروسافت دو مجموعه TTP متمایز برای چرخه اولیه نفوذ به اهداف در سال 2023 مشاهده کرده. در مرحله بعدی حمله ، گروه از TTP ها و ابزارهای مختلف ، حرکات جانبی و استخراج داده استفاده میکنه.

 

چرخه اولیه Peach-Sandstorm

 

مسیر اول : فعالیت Password Spray ، ریکان داخلی با AzureHound یا Roadtools ، مکانیسم های مختلف پرسیست:

فعالیت Password spray :

این گروه بین فوریه و جولای 2023، موج جدیدی از حملات Password Spray رو برای احرازهویت در هزاران سازمان مختلف شروع کرد.

حملات Password Spray تکنیکی هستش که در اون بازیگران تهدید تلاش میکنن تا با استفاده از یه رمز عبور یا لیستی از پسوردهای رایج روی اکانتهای مختلف، احراز هویت کنن. فرقش با حملات بروت فورس اینه که ، در حملات بروت فورس پسورد های مختلف روی یه اکانت انجام میشه و در نتیجه ممکنه اکانت قفل بشه، اما در این تکنیک همونطور که گفته شد یه رمز عبور یا لیستی از پسوردهای رایج روی اکانتهای مختلف تست میشه در نتیجه شانس بالایی رو برای احراز هویت، بدون قفل شدن اکانت در اختیار مهاجم قرار میده.

مهاجم اگه بتونه، تنها به یه اکانت دسترسی بگیره، میتونه با ریکان و حرکات جانبی به اطلاعات حساس دیگه ، بدون جلب توجه مدافعین ، دسترسی داشته باشه.

 

چرخه حمله

 

کمپین های Password Spray طولانی مدت، میتونه اطلاعاتی از بازیگر پشت کمپین بده. مثلا فعالیت های انجام شده در این کمپین نشون دهنده زندگی همسو در ایران هستش، بخصوص در اواخر مه و ژوئن که فعالیتها منحصرا بین ساعات 9 تا 17 به وقت ایران بود. شکلهای زیر نشون دهنده این واقعیت هستش . اولی نشون دهنده ساعات فعالیت روزانه در آوریل و جولای 2023 هستش و دومی نشون دهنده فعالیت ها در همین تاریخ بصورت هفتگیه.

 

فعالیت هفتگی
فعالیت ساعتی

 

اگرچه این گروه در گذشته هم کمپین های Password Spray انجام داده، اما عناصر کمپین اخیر منحصر به فرد بودن. مخصوصا اینکه، گروه فعالیت های Password Spray رو از طریق آی پی های TOR و user agent: go-http-client انجام میداده.

 

ریکان داخلی با AzureHound یا Roadtools :

مایکروسافت در مواردی مشاهده کرده که ، در صورتیکه گروه در دسترسی اولیه به اکانت موفق بوده، اقدام به ریکان در محیط Microsoft Entra ID که قبلا به Azure Active Directory معروف بود، با استفاده از ابزارهای AzureHound یا Roadtools میکرده.

در این کمپین، Peach Sandstorm از AzureHound، که یه باینری Go هستش که داده‌ها رو از Microsoft Entra ID و Azure Resource Manager از طریق Microsoft Graph و Azure REST API جمع‌آوری میکنه، بعنوان ابزاری برای جمع‌آوری اطلاعات استفاده میکرده. بطور مشابه، Roadtools، چارچوبی برای دسترسی به Microsoft Entra ID هستش که به Peach Sandstorm اجازه میده به داده‌ها در محیط ابری هدف دسترسی داشته باشه و داده‌های مورد علاقه رو به راحتی جمع آوری کنه.

AzureHound و Roadtools دارای قابلیت هایی هستن که توسط مدافعان، تیم های قرمز و بازیگران تهدید استفاده میشن.

 

مکانیسم های مختلف پرسیست:

برای پرسیست این گروه از مکانیسم های مختلفی استفاده کرده از جمله ایجاد یه اشتراک Azure جدید روی tenant قربانی و/یا از منابع Azureای که قبلا هکشون کردن استفاده میکردن. این اشتراک ها (subscriptions) برای تسهیل ارتباط با زیرساخت های گروه مورد استفاده قرار میگیرن.

گروه همچنین از ویژگی Azure Arc که ویژگی های Azure رو گسترده تر میکنه سوء استفاده کرده و از اون برای پرسیست استفاده کرده. در این کمپین این گروه، کلاینت Azure Arc رو ، روی دستگاه قربانی نصب و اونو به اشتراک Azure ای که توسط گروه کنترل میشه، وصل میکرده. این کمک میکنه تا گروه قربانی رو از طریق محیط ابری کنترل کنه.

 

مسیر 2: اکسپلویت راه دور آسیب پذیریهایی که از طریق اینترنت قابل مشاهده هستن

در این کمپین، این گروه از PoCهای منتشر شده برای آسیب پذیری های موجود در Zoho ManageEngine یا Confluence برای دسترسی اولیه به سیستمها استفاده کرده.

آسیب پذیری CVE-2022-47966 : امکان اجرای کد از راه دور در Zoho ManageEngine رو فراهم میکنه.

آسیب پذیری CVE-2022-26134 : امکان اجرای کد از راه دور در Confluence Server and Data Center رو فراهم میکنه.

 

فعالیت های بعد از دسترسی :

مایکروسافت فعالیت های پست اکسپلویت زیرو رو مشاهده کرده :

در برخی موارد از این کمپین، گروه از AnyDesk برای حفظ دسترسی روی اهداف استفاده کرده. AnyDesk قابلیتهای زیادی رو در اختیار مهاجم قرار میده مانند راحتی کار، دسترسی از راه دور به شبکه، باقی موندن در محیط ، قابلیت C2 و همچنین به دلیل اینکه این برنامه در اغلب محیطهای IT ،قانونی هستش، اونو در لیست مجاز قرار میده.

در یه مورد در مارس 2023، این گروه از حمله Golden SAML برای دسترسی به منابع ابری هدف استفاده کرده بود. در حمله Golden SAML ، مهاجم کلیدهای خصوصی رو از سرور Active Directory Federated Services (AD FS) قربانی میدزده و از این کلیدها برای جعل توکن مورد اعتماد SAML در محیط Microsoft 365 قربانی استفاده میکنه. اگه حمله موفقیت آمیز باشه، مهاجم میتونه احرازهویت AD FS رو دور بزنه و به محیط Federated دسترسی داشته باشه.

در یه مورد هم مایکروسافت مشاهده کرده که این گروه از یه اجرایی VMWare برای search order hijack استفاده کرده. DLL search order hijacking به مهاجم امکان وارد کردن کد های مخرب رو میده، بطوریکه با فعالیت های عادی ترکیب میشه.

همچنین در مواردی این گروه از EagleRelay برای تانل زدن ترافیک به زیرساختهای خودشون استفاده کردن. در این موارد، بازیگر تهدید، یه ماشین مجازی جدید در محیط اشتراک Azure هک شده ، ایجاد میکنه. این ماشین های مجازی برای اجرای ابزار سفارشی EagleRelay ، مورد استفاده قرار میگیره که کارش تانل زدن ترافیک بین سیستم های تحت کنترل بازیگر و سیستم های قربانی هستش.

در یه مورد هم مایکروسافت مشاهده کرده که این گروه از RDP برای حرکت جانبی استفاده میکنه.

 

اقدامات کاهشی:

مایکروسافت یسری اقدامات کاهشی برای جلوگیری و سخت تر شدن چنین حملاتی پیشنهاد داده از جمله :

  • پسورد اکانتهایی که هدف حملات Password Spray قرار گرفتن رو بازیابی کنید. اگه اکانت دارای امتیاز سیستمی هستش، نیاز به بررسی بیشتر داره.
  • علاوه بر بازیابی پسوردها، کوکی های جلسه رو هم لغو کنید:
    • لغو تغییراتی که در تنظیمات MFA توسط بازیگر انجام شده.
    • بروزرسانی MFA پیش فرض
  • معیارهای امنیتی Azure و بهترین شیوه های عمومی برای ایمن سازی زیرساخت های هویت رو اجرا کنید، از جمله:
    • سیاست های دسترسی مشروط ایجاد کنید تا دسترسی به محیط ، براساس معیارهای تعریف شده مجاز یا غیر مجاز، امکانپذیر باشه.
    • با استفاده از Conditional Access در Microsoft Entra ID ، احراز هویت های قدیمی رو بلاک کنید. پروتکل‌های احراز هویت قدیمی توانایی اجرای MFA رو ندارن، بنابراین مسدود کردنشون، مانع از سوء استفاده مهاجمان Password Spray از فقدان MFA در اون پروتکل‌ها میشه.
    • فعال سازی ویژگی AD FS web application proxy extranet lockout برای جلوگیری از حملات بروت فورس
  • اکانتهارو با استفاده از موارد ایمنی اعتبارنامه ها امن کنید :
    • اصل کمترین امتیاز رو اعمال کنید و فعالیت حسابهای دارای امتیاز رو در محیط Microsoft Entra ID بررسی کنید تا بتونید حرکت مهاجمین رو کند یا متوقف کنید.
    • ویژگی Microsoft Entra ID Connect Health رو برای Active Directory Federation Services (AD FS) اجرا کنید. این ویژگی میتونه تلاش های ناموفق و IP های ثبت شده در لاگ AD FS رو ، برای درخواست های بد ، در گزارش Risky IP ثبت کنه.
    • از ویژگی Microsoft Entra ID password protection برای شناسایی و مسدود کردن پسوردهای ضعیف استفاده کنید.
    • از ویژگی identity protection در Microsoft Entra ID برای نظارت بر خطرات مبتنی بر هویت و ایجاد خط‌مشی‌هایی برای ورود به سیستم پرخطر استفاده کنید.
  • از MFA برای کاهش حملات موفقیت آمیز Password Spray استفاده کنید. MFA رو برای حساب‌های دارای امتیاز همیشه روشن نگه دارید و برای حساب‌های عادی از MFA مبتنی بر ریسک استفاده کنید.
    •  روش های احراز هویت اولیه بدون رمز عبور، مانند Azure MFA، گواهی‌ها یا Windows Hello for Business رو در نظر بگیرید.
    • نقاط پایانی RDP یا Windows Virtual Desktop رو با MFA ایمن کنید تا در برابر حملات Password Spray یا حملات بروت فورس ایمن بشن.
  • ایمن سازی دارایی های حیاتی مانند سرورهای AD FS اقدامی با ارزش برای محافظت در برابر حملات Golden SAML هستش.

راهنمایی ارائه شده در زیر فراتر از فعالیت های این گروه  هستش و میتونه به سازمان ها کمک کنه تا سطوح حمله خودشون رو در برابر طیف وسیعی از تهدیدات ایمن کنن.

  • بسیار مهمه که سرورهای AD FS خودتون رو بعنوان یه دارایی Tier 0 در نظر بگیرید و از اونا با همون حفاظت هایی که برای Domain Controllerها یا سایر زیرساخت های امنیتی حیاتی اعمال میکنید، محافظت کنید. سرورهای AD FS احراز هویت رو برای طرف‌های متکی پیکربندی شده (configured relying) فراهم میکنن، بنابراین مهاجمی که دسترسی مدیریتی به سرور AD FS پیدا کنه میتونه کنترل کامل احراز هویت رو برای طرف‌های متکی پیکربندی شده ،بدست بیاره.
  • رعایت ایمنی اعتبارنامه ها ، بویژه توصیه‌های ارائه شده در بالا، برای محافظت و جلوگیری از قرار گرفتن در معرض خطر برای حساب‌های مدیریتی دارای امتیاز ،بسیار حیاتیه. این امر بویژه در مورد سیستم‌هایی که راحت‌تر بخطر می‌افتن مانند ایستگاه‌های کاری ،با کنترل‌هایی مانند محدودیت‌های ورود و جلوگیری از حرکت جانبی به این سیستم‌ها با کنترل‌هایی مانند فایروال ویندوز قابل ایمن سازی هستش.
  • مهاجرت به Microsoft Entra ID که قبلا با عنوان Azure Active Directory شناخته میشد خطرات حرکات جانبی به سرورهای احرازهویت رو کاهش میده. برای این منظور میتونید از راهنماهای زیر استفاده کنید:
    • گزارش فعالیت برنامه های AD FS به Microsoft Entra ID
    • انتقال احرازهویت برنامه به Microsoft Entra ID

 

IOC های گزارش :

 

Indicator Type Description
192.52.166[.]76 IP address Peach Sandstorm adversary IP
108.62.118[.]240 IP address Peach Sandstorm adversary IP
102.129.215[.]40  IP address Peach Sandstorm adversary IP
76.8.60[.]64 IP address Peach Sandstorm adversary IP

 

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In اخبار بازیگران تهدید مقالاتIn APT , APT ایرانی , Azure , CVE-2022-47966 , Microsoft Entra ID , Peach Sandstorm , Roadtools , تکنیک search order hijack , حمله Golden SAML , حمله Password Spray , مایکروسافت

راهبری نوشته

بررسی کمپین Sponsoring Access از APT ایرانی Ballistic Bobcat + فایل نمونه
دستیابی پلیس هلند به شماره تلفن کاربران تلگرام

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • اخبار
  • بازیگران تهدید
seyyid
On خرداد 31, 1402

واحد جدیدی سایبری وزارت دادگستری آمریکا برای تعقیب هکرها

  • اخبار
  • افشای اطلاعات
  • انتشارات
  • پادکست
  • مقالات
seyyid
On شهریور 20, 1403شهریور 29, 1403

نقش NSA در پیدا کردن بن لادن

  • آسیب پذیری امنیتی
  • اخبار
  • توسعه اکسپلویت
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
On اردیبهشت 26, 1402اردیبهشت 27, 1402

جایزه 22هزار دلاری گوگل به فازرهای برتر در SBFT 2023

  • اخبار
  • افشای اطلاعات
  • بازیگران تهدید
seyyid
On اسفند 17, 1401فروردین 28, 1402

کمپانی Acer هک شد

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404