Desde fevereiro de 2023, a Microsoft tem observado atividades de pulverização de senhas contra milhares de organizações realizadas por um ator que rastreamos como Peach Sandstorm (HOLMIUM). Peach Sandstorm é um ator ameaçador do Estado-nação iraniano que recentemente perseguiu organizações nos setores de satélite, defesa e farmacêutico em todo o mundo. Com base no perfil das organizações vítimas visadas e na atividade de intrusão subsequente observada, a Microsoft avalia que esta campanha de acesso inicial é provavelmente utilizada para facilitar a recolha de informações em apoio aos interesses do Estado iraniano.
Nos casos em que o Peach Sandstorm foi autenticado com sucesso em uma conta, a Microsoft observou o grupo usando uma combinação de ferramentas personalizadas e disponíveis publicamente para descoberta, persistência e movimento lateral. Em um pequeno número de invasões, o Peach Sandstorm foi observado extraindo dados do ambiente comprometido.
Dado o volume de atividade, as tentativas contínuas de acessar alvos de interesse e os riscos associados à atividade pós-comprometimento, a Microsoft está relatando esta campanha para aumentar a conscientização sobre o recente comércio da Peach Sandstorm e capacitar as organizações para fortalecerem suas superfícies de ataque e se defenderem contra esta atividade . Tal como acontece com qualquer atividade observada de um ator estatal, a Microsoft notifica diretamente os clientes que foram alvo ou comprometidos pelo Peach Sandstorm e fornece-lhes as informações de que necessitam para proteger as suas contas.
Quem é o Peach Sandstorm?
Peach Sandstorm é um grupo estatal iraniano conhecido por ter como alvo organizações em vários países. Em ataques anteriores, a Peach Sandstorm perseguiu alvos nos setores de aviação, construção, defesa, educação, energia, serviços financeiros, saúde, governo, satélite e telecomunicações. A atividade que a Microsoft atribui ao Peach Sandstorm se sobrepõe aos relatórios públicos sobre grupos conhecidos como APT33, Elfin e Refined Kitten.
Ao longo de 2023, a Peach Sandstorm demonstrou consistentemente interesse em organizações dos setores de satélite, defesa e, em menor medida, farmacêutico. Na fase inicial desta campanha, a Peach Sandstorm conduziu campanhas de pulverização de senhas contra milhares de organizações em diversos setores e regiões geográficas. Embora a Microsoft tenha observado várias organizações anteriormente visadas pelo Peach Sandstorm, o volume de atividade e a variedade de organizações sugerem que pelo menos um subconjunto da atividade inicial é oportunista.
Em operações anteriores, a Peach Sandstorm dependia fortemente, mas não exclusivamente, de ataques de pulverização de senhas como forma de obter acesso a alvos de interesse. Em alguns casos, a Peach Sandstorm usou esta técnica para comprometer um alvo intermediário e permitir o acesso a ambientes downstream. Por exemplo, Peach Sandstorm realizou uma onda de ataques em 2019 que coincidiu com o aumento das tensões entre os Estados Unidos e a República Islâmica do Irã.
Ao contrário das operações de pulverização de senhas, que são barulhentas por definição, um subconjunto da atividade pós-comprometimento do Peach Sandstorm em 2023 tem sido furtivo e sofisticado. Muitas das táticas, técnicas e procedimentos (TTPs) baseados em nuvem vistos nessas campanhas mais recentes são materialmente mais sofisticados do que os recursos usados pelo Peach Sandstorm no passado.
Cadeia de intrusão
A Microsoft observou o Peach Sandstorm usando dois conjuntos distintos de TTPs nos estágios iniciais do ciclo de vida da intrusão em ataques de 2023. Em estágios posteriores de comprometimentos conhecidos, o ator da ameaça usou diferentes combinações de um conjunto de TTPs conhecidos para descartar ferramentas adicionais, mover-se lateralmente e, por fim, exfiltrar dados de um alvo.
Caminho 1: atividade de pulverização de senha, reconhecimento interno com AzureHound ou Roadtools e vários mecanismos de persistência
Atividade de pulverização de senha
Entre fevereiro e julho de 2023, o Peach Sandstorm realizou uma onda de ataques de pulverização de senhas na tentativa de autenticação em milhares de ambientes. A pulverização de senhas é uma técnica em que os agentes de ameaças tentam se autenticar em muitas contas diferentes usando uma única senha ou uma lista de senhas comumente usadas. Ao contrário dos ataques de força bruta que visam uma única conta usando muitas senhas, os ataques de pulverização de senhas ajudam os adversários a maximizar suas chances de sucesso e a minimizar a probabilidade de bloqueios automáticos de contas.
Mesmo uma única conta comprometida pode permitir que um adversário realize reconhecimento, mova-se lateralmente ou aceda a recursos sensíveis, muitas vezes sem atrair a atenção dos defensores.
Campanhas de pulverização de senhas de longa duração oferecem informações sobre o padrão de vida dos adversários. A actividade observada nesta campanha alinhou-se com um padrão de vida iraniano, particularmente no final de Maio e Junho, onde a actividade ocorreu quase exclusivamente entre as 9h00 e as 17h00, Hora Padrão do Irão (IRST). Embora a Peach Sandstorm tenha realizado campanhas de pulverização de senhas em grande volume no passado, os elementos da campanha mais recente foram únicos. Especificamente, Peach Sandstorm conduziu consistentemente a pulverização de senhas de IPs TOR e usou um agente de usuário “go-http-client”.
Reconhecimento interno com AzureHound ou Roadtools
Em um pequeno subconjunto de casos em que o Peach Sandstorm foi autenticado com êxito em uma conta em um ambiente direcionado, a Microsoft observou o agente da ameaça usando o AzureHound ou o Roadtools para realizar o reconhecimento no Microsoft Entra ID (anteriormente Azure Active Directory). Nesta campanha, a Peach Sandstorm utilizou o AzureHound, um binário Go que coleta dados do Microsoft Entra ID e do Azure Resource Manager por meio das APIs Microsoft Graph e Azure REST, como meio de coletar informações sobre um sistema de interesse. Da mesma forma, o Roadtools, uma estrutura para acessar o Microsoft Entra ID, permitiu que o Peach Sandstorm acessasse dados no ambiente de nuvem de um alvo e despejasse convenientemente os dados de interesse em um único banco de dados.
AzureHound e Roadtools possuem funcionalidades usadas por defensores, times vermelhos e adversários. Os mesmos recursos que tornam essas ferramentas úteis para usuários legítimos, como recursos pré-construídos para explorar e despejar dados perfeitamente em um único banco de dados, também tornam essas ferramentas opções atraentes para adversários que buscam informações sobre ou do ambiente de um alvo.
Vários mecanismos de persistência
Nos casos em que a Microsoft observou esta cadeia de intrusão específica, o autor da ameaça utilizou um ou mais mecanismos de persistência. Em alguns casos, a Peach Sandstorm criou uma nova subscrição do Azure no inquilino de um alvo e/ou aproveitou recursos do Azure anteriormente comprometidos. Essas assinaturas foram posteriormente usadas para facilitar a comunicação com a infraestrutura do Peach Sandstorm.
Peach Sandstorm também abusou do Azure Arc, um recurso que permite aos usuários proteger, desenvolver e operar infraestrutura, aplicativos e serviços do Azure em qualquer lugar, para persistir em ambientes comprometidos. Nesta campanha, a Peach Sandstorm instalou o cliente Azure Arc num dispositivo no ambiente comprometido e ligou-o a uma subscrição do Azure controlada pela Peach Sandstorm. Isso efetivamente permitiu que o Peach Sandstorm controlasse dispositivos no ambiente local de um alvo a partir da nuvem do Peach Sandstorm.
Caminho 2: Exploração remota de aplicativos vulneráveis voltados para a Internet
Acesso inicial usando exploração remota
Nesta onda de atividade, a Peach Sandstorm também tentou explorar vulnerabilidades com uma prova de conceito (POC) pública no Zoho ManageEngine ou Confluence, para acessar os ambientes dos alvos.
- CVE-2022-47966é uma vulnerabilidade de execução remota de código que afeta um subconjunto de produtos Zoho ManageEngine locais. A Microsoft recomenda que as organizações que usam aplicativos vulneráveis corrijam esta vulnerabilidade, pois vários grupos foram observados explorando esta vulnerabilidade.
- CVE-2022-26134é uma vulnerabilidade de execução remota de código no Confluence Server e Data Center. Recomendações que ajudam as organizações a se protegerem contra a exploração de múltiplas vulnerabilidades, incluindo CVE-2022-26134, podem ser encontradas na seção de recomendações deste relatório.
Atividade pós-compromisso
A seguinte atividade pós-compromisso afetou organizações nos setores de defesa, satélite e farmacêutico:
- Em um subconjunto de invasões nesta campanha, a Peach Sandstorm implantou o AnyDesk, uma ferramenta comercial de monitoramento e gerenciamento remoto (RMM) para manter o acesso a um alvo. AnyDesk possui uma gama de recursos que permitem aos usuários acessar remotamente uma rede, persistir em um ambiente comprometido e habilitar comando e controle (C2). A conveniência e a utilidade de uma ferramenta como o AnyDesk são ampliadas pelo fato de que ela pode ser permitida por controles de aplicativos em ambientes onde é usada legitimamente pelo pessoal de suporte de TI ou administradores de sistema.
- Em uma intrusão em março de 2023, a Peach Sandstorm conduziu um ataque Golden SAML para acessar os recursos da nuvem de um alvo. Em um ataque Golden SAML, um adversário rouba chaves privadas do servidor local dos Serviços Federados do Active Directory (AD FS) de um alvo e usa as chaves roubadas para cunhar um token SAML confiável para o ambiente Microsoft 365 de um alvo. Se for bem-sucedido, um agente de ameaça poderá ignorar a autenticação do AD FS e acessar serviços federados como qualquer usuário.
- Em pelo menos uma intrusão, a Microsoft observou o Peach Sandstorm usando um executável VMWare legítimo para realizar um sequestro de ordem de pesquisa. O sequestro de ordem de pesquisa de DLL permite que adversários introduzam código malicioso em um ambiente de uma forma que se misture com a atividade normal.
- Em vários ambientes, a Microsoft observou o Peach Sandstorm usando o EagleRelay para encapsular o tráfego de volta à sua infraestrutura. Nestes casos, a Peach Sandstorm criou uma nova máquina virtual numa subscrição comprometida do Azure. Essas máquinas virtuais foram usadas para executar o EagleRelay, uma ferramenta personalizada, para encapsular o tráfego entre sistemas controlados por atores e sistemas de alvos. Em pelo menos um caso, a Microsoft também viu o Peach Sandstorm tentando se mover lateralmente em um ambiente comprometido usando o protocolo de desktop remoto (RDP).
Contexto adicional
As capacidades observadas nesta campanha são preocupantes, pois a Microsoft viu o Peach Sandstorm usar credenciais legítimas (obtidas de ataques de pulverização de senhas) para autenticar os sistemas dos alvos, persistir nos ambientes dos alvos e implantar uma série de ferramentas para realizar atividades adicionais. A Peach Sandstorm também criou novas assinaturas do Azure e aproveitou o acesso fornecido por essas assinaturas para conduzir ataques adicionais em ambientes de outras organizações. Embora os efeitos específicos desta campanha variem com base nas decisões do autor da ameaça, mesmo o acesso inicial pode impactar negativamente a confidencialidade de um determinado ambiente. A Microsoft continua a trabalhar em suas plataformas para identificar abusos, eliminar atividades maliciosas e implementar novas proteções proativas para desencorajar atores mal-intencionados de usar nossos serviços.denunciar abuso.
À medida que a Peach Sandstorm desenvolve e utiliza cada vez mais novas capacidades, as organizações devem desenvolver defesas correspondentes para fortalecer as suas superfícies de ataque e aumentar os custos desses ataques. A Microsoft continuará monitorando a atividade do Peach Sandstorm e implementando proteções robustas para nossos clientes.
Mitigações
Para fortalecer uma superfície de ataque contra a atividade da Peach Sandstorm, os defensores podem implementar o seguinte:
- Redefina as senhas de todas as contas visadas durante um ataque de pulverização de senha. Se uma conta alvo tiver permissões no nível do sistema, uma investigação mais aprofundada poderá ser necessária.
- Revogar cookies de sessão além de redefinir senhas
- Revogar quaisquer alterações nas configurações de autenticação multifator (MFA) feitas pelo invasor nas contas de qualquer usuário comprometido
- Exigir novo desafio de MFA para atualizações de MFA como padrão
- Implemente o Azure Security Benchmark e as melhores práticas gerais para proteger a infraestrutura de identidade, incluindo:
- Crie políticas de acesso condicional para permitir ou proibir o acesso ao ambiente com base em critérios definidos.
- Bloqueie a autenticação herdada com o Microsoft Entra ID usando acesso condicional. Os protocolos de autenticação legados não têm a capacidade de impor MFA, portanto, bloquear esses métodos de autenticação impedirá que invasores de pulverização de senhas aproveitem a falta de MFA nesses protocolos.
- Habilite o bloqueio de extranet do proxy do aplicativo Web do AD FS para proteger os usuários contra possíveis comprometimentos de força bruta de senha.
- Contas seguras com higiene de credenciais:
- Pratique o princípio do menor privilégio e audite a atividade de contas privilegiadas em seus ambientes Microsoft Entra ID para retardar e impedir invasores.
- Implante o Microsoft Entra ID Connect Health para Serviços de Federação do Active Directory (AD FS). Isso captura tentativas malsucedidas, bem como endereços IP registrados em logs do AD FS para solicitações incorretas no relatório de IP arriscado.
- Use a proteção por senha do Microsoft Entra ID para detectar e bloquear senhas fracas conhecidas e suas variantes.
- Ative a proteção de identidade no Microsoft Entra ID para monitorar riscos baseados em identidade e criar políticas para entradas arriscadas.
- Use MFA para mitigar ataques de pulverização de senha bem-sucedidos. Mantenha a MFA sempre ativa para contas privilegiadas e aplique a MFA baseada em risco para contas normais.
- Considere fazer a transição para um método de autenticação primário sem senha, como Azure MFA, certificados ou Windows Hello for Business.
- Proteja endpoints RDP ou Windows Virtual Desktop com MFA para proteção contra spray de senha ou ataques de força bruta.
Proteger ativos críticos, como servidores AD FS, é uma medida de alto valor para proteção contra ataques SAML dourados. A orientação fornecida abaixo é aplicável além da atividade do Peach Sandstorm e pode ajudar as organizações a fortalecer suas superfícies de ataque contra uma série de ameaças.
- É fundamental tratar seus servidores AD FS como um ativo de Camada 0, protegendo-os com as mesmas proteções que você aplicaria a um controlador de domínio ou outra infraestrutura de segurança crítica. Os servidores AD FS fornecem autenticação para partes confiáveis configuradas, para que um invasor que obtenha acesso administrativo a um servidor AD FS possa obter controle total da autenticação para partes confiáveis configuradas (inclua locatários do Microsoft Entra ID configurados para usar o servidor AD FS).
- Praticar a higiene de credenciais, principalmente as recomendações fornecidas acima, é fundamental para proteger e prevenir a exposição de contas de administrador altamente privilegiadas. Isso se aplica especialmente a sistemas mais facilmente comprometidos, como estações de trabalho, com controles como restrições de logon e prevenção de movimentos laterais para esses sistemas com controles como o Firewall do Windows.
- A migração para a autenticação Microsoft Entra ID (anteriormente Azure Active Directory) é recomendada para reduzir o risco de comprometimentos locais se moverem lateralmente para seus servidores de autenticação. Os clientes podem usar as seguintes referências sobre migração:
Indicadores de compromisso
| Indicador | Tipo | Descrição |
| 192.52.166[.]76 | endereço de IP | IP do adversário Peach Sandstorm |
| 108.62.118[.]240 | endereço de IP | IP do adversário Peach Sandstorm |
| 102.129.215[.]40 | endereço de IP | IP do adversário Peach Sandstorm |
| 76.8.60[.]64 | endereço de IP | IP do adversário Peach Sandstorm |
Detalhes de detecção
Microsoft Defender para Ponto de Extremidade
Alertas com os seguintes títulos na central de segurança podem indicar atividade do Peach Sandstorm na sua rede:
- Atividade do ator Peach Sandstorm detectada
Microsoft Defender para Identidade
Os alertas a seguir podem indicar atividades associadas a campanhas de pulverização de senhas.
- Spray de senha
- Viagem atípica
- Propriedades de login desconhecidas
Microsoft Defender para aplicativos em nuvem
Os alertas a seguir podem indicar atividades associadas a campanhas de pulverização de senhas.
- Atividade de um endereço IP Tor
- Atividade Administrativa Suspeita
- Atividade de viagem impossível
- Várias tentativas de login malsucedidas
Consultas de caça
Microsoft Sentinel
Os clientes da Microsoft podem usar uma variedade de conteúdo do Microsoft Sentinel para ajudar a detectar a atividade do Peach Sandstorm descrita neste blog. A solução Azure Active Directory contém várias regras de análise e consultas de busca para dados do Microsoft Entra ID que podem ajudar a descobrir atividades de acesso inicial, incluindo sprays de senha. Regras analíticas específicas de valor incluem:
- Ataque de spray de senha contra o aplicativo Microsoft Entra ID
- Potencial ataque de spray de senha (usa normalização de autenticação)
- Okta – Potencial ataque de spray de senha
Referências
- https://www.cyberwarcon.com/apt33
- https://bloodhound.readthedocs.io/en/latest/data-collection/azurehound.html
- https://github.com/dirkjanm/ROADtools
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-47966
- https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Leitura adicional
Para obter as pesquisas de segurança mais recentes da comunidade Microsoft Threat Intelligence, confira o Blog Microsoft Threat Intelligence: https://aka.ms/threatintelblog.
Para ser notificado sobre novas publicações e participar de discussões nas redes sociais, siga-nos no Twitter em https://twitter.com/MsftSecIntel.
Fonte: Microsoft
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
