De Iraanse hackergroep APT33 heeft nieuwe Tickler-malware gebruikt om de netwerken van organisaties in de overheids-, defensie-, satelliet-, olie- en gassectoren in de Verenigde Staten en de Verenigde Arabische Emiraten te infiltreren.

Zoals door beveiligingsonderzoekers van Microsoft is waargenomen, heeft de dreigingsgroep (ook bekend als Peach Sandstorm en Refined Kitten), die opereert namens de Iraanse Islamitische Revolutionaire Garde (IRGC), deze nieuwe malware gebruikt als onderdeel van een inlichtingenverzamelcampagne tussen april en juli 2024.

Gedurende deze aanvallen maakten de dreigingsactoren gebruik van Microsoft Azure-infrastructuur voor command-and-control (C2), met behulp van frauduleuze, door aanvallers beheerde Azure-abonnementen die sindsdien door het bedrijf zijn verstoord.

APT33 heeft doelgerichte organisaties in de defensie-, ruimte-, onderwijs- en overheidssectoren geïnfiltreerd na succesvolle wachtwoordaanvalaanvallen tussen april en mei 2024. In deze aanvallen probeerden ze toegang te krijgen tot veel accounts met behulp van een klein aantal veelgebruikte wachtwoorden om accountvergrendelingen te voorkomen.

“Hoewel de wachtwoordaanvalactiviteit consistent was binnen sectoren, zag Microsoft dat Peach Sandstorm uitsluitend gebruik maakte van gecompromitteerde gebruikersaccounts in de onderwijssector om operationele infrastructuur te verwerven. In deze gevallen had de dreigingsactor toegang tot bestaande Azure-abonnementen of creëerde er een met het gecompromitteerde account om hun infrastructuur te hosten,” aldus Microsoft.

De Azure-infrastructuur die ze controleerden, werd gebruikt bij daaropvolgende operaties gericht op de overheids-, defensie- en ruimtevaartsector.

“In het afgelopen jaar heeft Peach Sandstorm met succes verschillende organisaties gecompromitteerd, voornamelijk in de eerder genoemde sectoren, met behulp van op maat gemaakte tooling,” voegde Microsoft eraan toe.

De Iraanse dreigingsgroep gebruikte deze tactiek ook in november 2023 om de netwerken van defensieaannemers wereldwijd te compromitteren en de FalseFont-backdoor malware te implementeren.

In september waarschuwde Microsoft voor een andere campagne van APT33 waarbij duizenden organisaties wereldwijd het doelwit waren van uitgebreide wachtwoordaanvalaanvallen sinds februari 2023, wat leidde tot breaches in de defensie-, satelliet- en farmaceutische sectoren.

Microsoft heeft aangekondigd dat vanaf 15 oktober multi-factor authenticatie (MFA) verplicht zal zijn voor alle Azure-aanmeldpogingen om Azure-accounts te beschermen tegen phishing- en kapingpogingen.

Het bedrijf heeft eerder vastgesteld dat MFA 99,99% van de MFA-ingeschakelde accounts in staat stelt hackerpogingen te weerstaan en het risico op compromittering met 98,56% vermindert, zelfs wanneer aanvallers proberen accounts te kraken met eerder gecompromitteerde inloggegevens.