İranlı bir Hacker grubu olan Peach Sandstorm, dünya çapında çeşitli sektörleri hedefliyor ve bu grup aşağıdakilerle bağlantılı:
- APT33
- Elfin
Bu ulus-devlet grubu öncelikle aşağıdaki sektörlere odaklanmaktadır:
- Havacılık
- Yapı
- Savunma
- Eğitim
- Enerji
- Finans
- Sağlık hizmeti
- Devlet
- Uydu
- Telekomünikasyon
Grup, 2023 yılında uydu, savunma ve ilaç sektörlerine yoğun ilgi gösteriyor. Parola sprey kampanyaları kullanan Peach Sandstorm, bu taktiğe güvenme geçmişiyle fırsatçı davranışlar sergiliyor.
Bununla birlikte, bunun yanı sıra, 2023’teki daha gizli faaliyetler geçmiş gürültülü operasyonlarla tezat oluşturuyor ve gelişmiş bulut tabanlı teknikleri sergiliyor.
Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları, yakın zamanda tehdit aktörlerinin Microsoft’un Windows işletim sistemini hacklemesine olanak tanıyan “FalseFont” adlı yeni bir arka kapı keşfetti ve İranlı Hacker grubu Peach Sandstorm’un bu backdorr’u geliştirdiği bildirildi. Bu özel backdoor FalseFont, operatörlerine aşağıdaki yetenekleri sağlar:
- Uzaktan erişim
- Dosya başlatma
- C2 sunucularına veri aktarımı
Bu özel backdoor FalseFont, Kasım 2023’ün başlarında hedeflerine yönelik operasyonlar sırasında tespit edildi.
FalseFont’un gelişimi, Microsoft’un Peach Sandstorm’a yönelik bir yıl boyunca yaptığı gözlemlerle uyumlu olup, yeni geliştirilen backdoor’un sürekli olarak geliştirildiğini göstermektedir.
Ayrıca Microsoft’un Windows işletim sistemiyle önceden yerleşik olarak gelen güvenlik çözümü Microsoft Defender Antivirus, “FalseFont” backdooru’u şu şekilde algıladı:
- MSIL/FalseFont.A!dha
Aşağıda, kuruluşların kendi ortamlarındaki bu karmaşık backdoor’u tespit etmelerine yardımcı olacak IOC’ler:
- C2: Digitalcodecrafters[.]com
- SHA-256: 364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614
Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları, Microsoft Defender XDR aracılığıyla Peach Sandstorm’un ilgili tüm etkinliklerini yakalamak amacıyla devam eden araştırmalarını aktif olarak sürdürüyor.
- Parola püskürtme saldırısında hedeflenen hesapların, özellikle de sistem düzeyinde izinlere sahip olanların parolalarını sıfırlayın.
- Saldırganların ele geçirilen hesaplarda çok faktörlü kimlik doğrulama (MFA) ayarlarında yaptığı tüm değişiklikleri iptal edin.
- Kimlik altyapısı güvenliği için Azure Güvenlik Karşılaştırmasını ve genel en iyi uygulamaları uygulayın.
- Ortam erişimini kontrol etmek için tanımlanmış kriterlere dayalı koşullu erişim politikaları oluşturun.
- Parola püskürtme saldırılarını önlemek için Koşullu Erişimi kullanarak Microsoft Entra ID ile eski kimlik doğrulamasını engelleyin.
- Parola kaba kuvvet ihlaline karşı koruma sağlamak için AD FS web uygulaması proxy extranet kilitlemesini etkinleştirin.
- Microsoft Entra ID ortamlarında en az ayrıcalığı uygulayın ve ayrıcalıklı hesap etkinliğini denetleyin.
- Günlüklerdeki başarısız girişimleri ve IP adreslerini yakalamak için AD FS için Microsoft Entra ID Connect Health’i dağıtın.
- Zayıf parolaları ve türevlerini tespit etmek ve engellemek için Microsoft Entra ID parola korumasını kullanın.
- Riskli oturum açma işlemlerini izlemek ve bunlara yönelik politikalar oluşturmak için Microsoft Entra ID’de kimlik korumasını açın.
- Parola püskürtme saldırılarını azaltmak amacıyla ayrıcalıklı hesaplar için MFA’yı ve normal hesaplar için risk tabanlı MFA’yı kullanın.
- Azure MFA, sertifikalar veya Windows Hello for Business gibi parolasız kimlik doğrulama yöntemlerine geçiş yapmayı düşünün.
- Saldırılara karşı güçlendirmek için RDP veya Windows Sanal Masaüstü uç noktalarını MFA ile güvence altına alın.
- AD FS sunucularına Katman 0 varlıkları gibi davranın ve bunları etki alanı denetleyicilerine benzer önlemlerle koruyun.