Ein Archivfoto eines Hackers Kameleon007/iStock
Seit Juli 2021 verfolgt das Microsoft Threat Intelligence Center MSTIC einen neuen Aktivitätscluster, der auf US-amerikanische und israelische Verteidigungsunternehmen, maritime Unternehmen mit Präsenz im Nahen Osten und Einreisehäfen am Persischen Golf abzielt.sagte das Unternehmen in a Blogpost. Analysen dieser Aktivitäten lassen das Unternehmen glauben, dass es vom iranischen Staat unterstützt wird.
MSTIC weist aufkommenden und unbekannten Clustern von Bedrohungsaktivitäten DEV-####-Namen zu, bis es hohes Vertrauen in die Ursprünge oder den dahinterstehenden Akteur hat. Dieser Reihe von Aktivitäten wurde die Bezeichnung DEV-0343 zugewiesen und wurdefestgestellt, dass sie hauptsächlich zwischen Sonntag und Donnerstag aktiv sind, zwischen 7:30 und 20:30 Uhr Iraner Zeit 04:00:00 und 17:00:00 UTC, sagte das Unternehmen in dem Blogbeitrag.
Die Ziele sind nicht nur Verteidigungsunternehmen
Die DEV-0343-Aktivität zielte auf Verteidigungsunternehmen ab, die militärische Radare, Drohnentechnologie, Satellitensysteme und Notfallkommunikationssysteme herstellen, um die Regierungen der USA, der EU und Israels zu unterstützen. Sie zielte auch auf See- und Frachttransportunternehmen mit Operationen abim Nahen Osten. Zu seinen Zielen zählen auch "Kunden in geografischen Informationssystemen GIS, Raumanalysen, regionale Einreisehäfen im Persischen Golf", heißt es in dem Blogbeitrag.
Die Hacker verwenden die Passwort-Spray-Technik – bei der dieselben Passwörter über eine Reihe von Benutzernamen hinweg durchlaufen werden, um sich bei den Netzwerken anzumelden, ohne gesperrt zu werden. Dies wird von Firefox oder ermöglicht.Chrom-Browser Emulatoren, die mit durchschnittlich 150-1000 eindeutigen Tor-IP-Adressen verschleiert sind, sagte das Unternehmen.
Bisher hat Microsoft solche Angriffe auf mehr als 250 Office 365-Mandanten festgestellt, die sich auf zwei Endpunkte konzentrieren, Autodiscover und ActiveSync auf seine Exchange-Dienste. Allerdings wurden weniger als 20 Mandanten kompromittiert und das Unternehmen hat die Kunden kontaktiert, um sie zu benachrichtigen und zu ergreifennotwendige Maßnahmen zur Sicherung ihrer Konten.
Microsoft glaubt, dass das Aktionsmuster auf diese Aktivität hindeutet aus dem Iran stammend. Der aus diesen Angriffen gewonnene Zugang wird dem Iran wahrscheinlich helfen, sein sich entwickelndes Satellitenprogramm zu kompensieren, heißt es in dem Blogbeitrag.
Microsoft empfiehlt Kunden, die Multi-Faktor-Authentifizierung zu aktivieren, um kompromittierte Anmeldeinformationen abzuschwächen, passwortlose Lösungen wie den Authenticator zu verwenden, empfohlene Zugriffsrichtlinien zu überprüfen und durchzusetzen und eingehenden Datenverkehr nach Möglichkeit von anonymisierenden Diensten zu blockieren.