自 2023 年 2 月以来,Microsoft 观察到由我们追踪的 Peach Sandstorm (HOLMIUM) 攻击者针对数千个组织实施的密码喷洒活动。Peach Sandstorm 是伊朗民族国家威胁行为者,最近在全球范围内追捕卫星、国防和制药领域的组织。根据目标受害者组织的概况和观察到的后续入侵活动,微软评估这一初始访问活动可能用于促进情报收集,以支持伊朗国家利益。
在 Peach Sandstorm 成功验证帐户身份的情况下,微软观察到该组织使用公开可用和自定义工具的组合来进行发现、持久性和横向移动。在少数入侵中,观察到 Peach Sandstorm 从受感染的环境中窃取数据。
鉴于活动量、对感兴趣目标的持续尝试以及与攻击后活动相关的风险,Microsoft 正在报告此活动,以提高对最近的 Peach Sandstorm 贸易技术的认识,并使组织能够强化其攻击面并防御此活动。与任何观察到的国家行为者活动一样,Microsoft 直接通知已成为 Peach Sandstorm 目标或受到损害的客户,并向他们提供保护帐户所需的信息。
Peach Sandstorm 是谁?
Peach Sandstorm 是一个伊朗民族国家组织,以多个国家的组织为攻击目标。在过去的攻击中,Peach Sandstorm 攻击过航空、建筑、国防、教育、能源、金融服务、医疗保健、政府、卫星和电信领域的目标。Microsoft 归因于 Peach Sandstorm 的活动与 APT33、Elfin 和 Refined Kitten 组织的公开报告重叠。
整个 2023 年,Peach Sandstorm 一直表现出对卫星、国防以及制药领域组织的兴趣。在此活动的初始阶段,Peach Sandstorm 针对多个行业和地区的数千个组织开展了密码喷洒活动。虽然 Microsoft 观察了 Peach Sandstorm 之前针对的几个组织,但活动量和组织范围表明,至少一部分初始活动是机会主义的。
在过去的行动中,Peach Sandstorm 严重依赖(但并非完全)密码喷射攻击作为访问感兴趣目标的手段。在某些情况下,Peach Sandstorm 使用这种间谍技术来危害中间目标并允许访问下游环境。例如,Peach Sandstorm 在 2019 年发动了一波袭击,当时正值美国和伊朗伊斯兰共和国之间的紧张局势加剧。
与从定义上来说很嘈杂的密码喷射操作不同,Peach Sandstorm 2023 年的泄露后活动的一部分是隐秘且复杂的。在最近的这些活动中看到的许多基于云的策略、技术和程序 (TTP) 实质上比 Peach Sandstorm 过去使用的功能更加复杂。
入侵链
Microsoft 观察到 Peach Sandstorm 在 2023 年攻击的入侵生命周期的早期阶段使用了两组不同的 TTP。在已知妥协的后期阶段,威胁行为者使用一组已知 TTP 的不同组合来投放额外的工具、横向移动并最终从目标中窃取数据。
图 1. 2023 年Peach Sandstorm谍报技术
路径 1:密码喷射活动、使用 AzureHound 或 Roadtools 进行内部侦察以及多种持久性机制
密码喷洒活动
2023 年 2 月至 7 月期间,Peach Sandstorm 发起了一波密码喷射攻击,试图对数千个环境进行身份验证。密码喷射是一种威胁行为者尝试使用单个密码或常用密码列表对许多不同帐户进行身份验证的技术。与使用多个密码针对单个帐户的暴力攻击不同,密码喷射攻击可帮助对手最大限度地提高成功机会,并最大限度地降低自动帐户锁定的可能性。
即使是单个被入侵的帐户也可能允许对手进行侦察、横向移动或访问敏感资源,而通常不会引起防御者的注意。
图 2. 身份攻击生命周期
长期运行的密码喷洒活动可以洞察对手的生活模式。在此活动中观察到的活动符合伊朗的生活模式,特别是在 5 月下旬和 6 月,这些活动几乎完全发生在伊朗标准时间 (IRST) 上午 9:00 至下午 5:00 之间。虽然 Peach Sandstorm 过去曾开展过大量密码喷洒活动,但最近的活动的元素是独一无二的。具体来说,Peach Sandstorm 始终从TOR IP进行密码喷射,并使用“go-http-client”用户代理。
图 3. Peach Sandstorm 每小时的身份验证尝试次数(2023 年 4 月至 7 月)
图 4. Peach Sandstorm 一周中各天的身份验证尝试(2023 年 4 月至 7 月)
使用 AzureHound 或 Roadtools 进行内部侦察
在 Peach Sandstorm 成功对目标环境中的帐户进行身份验证的一小部分实例中,Microsoft 观察到威胁参与者使用AzureHound或Roadtools在 Microsoft Entra ID(以前称为 Azure Active Directory)中进行侦察。在此活动中,Peach Sandstorm 使用 AzureHound(一种 Go 二进制文件),通过 Microsoft Graph 和 Azure REST API 从 Microsoft Entra ID 和 Azure 资源管理器收集数据,作为收集有关系统信息的手段。同样,Roadtools(一个访问 Microsoft Entra ID 的框架)允许 Peach Sandstorm 访问目标云环境中的数据,并方便地将感兴趣的数据转储到单个数据库。
AzureHound 和 Roadtools 具有供防御者、红队和对手使用的功能。使这些工具对合法用户有用的相同功能(例如在单个数据库中探索和无缝转储数据的预构建功能)也使这些工具成为攻击者寻求有关目标环境或从目标环境获取信息的有吸引力的选择。
多种持久化机制
在 Microsoft 观察到这一特定入侵链的情况下,威胁行为者使用了一种或多种持久性机制。在某些情况下,Peach Sandstorm 在目标租户上创建新的 Azure 订阅和/或利用之前受到损害的 Azure 资源。这些订阅随后用于促进与 Peach Sandstorm 基础设施的通信。
Peach Sandstorm 还滥用了Azure Arc功能,该功能允许用户在任何地方保护、开发和操作基础设施、应用程序和 Azure 服务,以便在受感染的环境中持续存在。在此活动中,Peach Sandstorm 在受感染环境中的设备上安装了 Azure Arc 客户端,并将其连接到由 Peach Sandstorm 控制的 Azure 订阅。这有效地允许 Peach Sandstorm 从 Peach Sandstorm 的云控制目标本地环境中的设备。
路径 2:远程利用易受攻击的面向互联网的应用程序
使用远程攻击进行初始访问
在这波活动中,Peach Sandstorm 还尝试利用 Zoho ManageEngine 或 Confluence 中的公共概念验证 (POC) 漏洞来访问目标环境。
1. CVE-2022-47966是影响本地 Zoho ManageEngine 产品子集的远程代码执行漏洞。Microsoft 建议使用易受攻击的应用程序的组织修补此漏洞,因为已观察到多个组织利用此漏洞。
2. CVE-2022-26134Confluence Server 和 Data Center 中存在远程代码执行漏洞。可以在本报告的建议部分找到帮助组织防止利用多个漏洞(包括 CVE-2022-26134)的建议。
受损后活动
以下妥协后的活动影响了国防、卫星和制药领域的组织:
1. 在该活动的一部分入侵中,Peach Sandstorm 部署了 AnyDesk,这是一种商业远程监控和管理工具 (RMM),用于维护对目标的访问。AnyDesk 具有一系列功能,允许用户远程访问网络、保留在受感染的环境中以及启用命令和控制 (C2)。AnyDesk 等工具的便利性和实用性因 IT 支持人员或系统管理员合法使用环境中的应用程序控制而允许使用这一事实而得到放大。
2. 在 2023 年 3 月的一次入侵中,Peach Sandstorm 进行了 Golden SAML 攻击以访问目标的云资源。在黄金 SAML 攻击中,攻击者从目标的本地 Active Directory 联合服务 (AD FS) 服务器窃取私钥,并使用窃取的密钥创建目标 Microsoft 365 环境信任的 SAML 令牌。如果成功,威胁参与者可以绕过 AD FS 身份验证并以任何用户身份访问联合服务。
3. 在至少一次入侵中,微软观察到 Peach Sandstorm 使用合法的 VMWare 可执行文件来执行搜索顺序劫持。DLL 搜索顺序劫持允许攻击者以与正常活动混合的方式将恶意代码引入到环境中。
4. 在少数环境中,微软观察到 Peach Sandstorm 使用 EagleRelay 将流量传输回其基础设施。在这些实例中,Peach Sandstorm 在受感染的 Azure 订阅中创建了新虚拟机。这些虚拟机用于运行 EagleRelay(一种自定义工具),以在参与者控制的系统和目标系统之间传输流量。至少在一个案例中,微软还发现 Peach Sandstorm 试图使用远程桌面协议 (RDP) 在受感染的环境中横向移动。
额外的背景信息
在此活动中观察到的功能令人担忧,因为 Microsoft 发现 Peach Sandstorm 使用合法凭据(从密码喷射攻击中收集)对目标系统进行身份验证、保留在目标环境中以及部署一系列工具来执行其他活动。Peach Sandstorm 还创建了新的 Azure 订阅,并利用这些订阅提供的访问权限在其他组织的环境中进行其他攻击。虽然此活动的具体影响因威胁行为者的决定而异,但即使是初始访问也可能对给定环境的机密性产生不利影响。Microsoft 继续在其平台上开展工作,以识别滥用行为、消除恶意活动并实施新的主动保护措施,以阻止恶意行为者使用我们的服务。举报滥用行为。
随着Peach Sandstorm不断开发和使用新功能,组织必须开发相应的防御措施来强化其攻击面并提高这些攻击的成本。Microsoft 将继续监控 Peach Sandstorm 活动并为我们的客户实施强有力的保护。
缓解措施
为了强化针对 Peach Sandstorm 活动的攻击面,防御者可以实施以下措施:
1. 重置密码喷射攻击期间任何目标帐户的帐户密码。如果目标帐户具有系统级权限,则可能需要进一步调查。
2. 撤销会话cookie 除了重置密码之外
3. 实施 Azure 安全基准 和 保护身份基础设施的一般最佳实践,包括:
4. 具有凭证卫生的安全帐户:
5. 使用 MFA 缓解成功的密码喷射攻击。对特权账户保持 MFA 始终开启,对普通账户应用基于风险的 MFA。
6. 考虑过渡到无密码主要身份验证方法,例如Azure MFA、证书或Windows Hello 企业版。
7. 使用 MFA 保护 RDP 或 Windows 虚拟桌面端点,以抵御密码喷洒或暴力攻击。
保护 AD FS 服务器等关键资产的安全是防范黄金 SAML 攻击的一项高价值措施。下面提供的指南不仅适用于 Peach Sandstorm 活动,还可以帮助组织强化其攻击面以抵御一系列威胁。
1. 将 AD FS 服务器视为第 0 层资产至关重要,并使用与域控制器或其他关键安全基础设施相同的保护措施来保护它们。AD FS 服务器向配置的依赖方提供身份验证,因此获得 AD FS 服务器管理访问权限的攻击者可以完全控制对配置的依赖方(包括配置为使用 AD FS 服务器的 Microsoft Entra ID 租户)的身份验证。
2. 实行凭证卫生,特别是上面提供的建议,对于保护和防止高特权管理员帐户的暴露至关重要。这尤其适用于更容易受到损害的系统,例如具有登录限制等控件的工作站,并通过 Windows 防火墙等控件防止横向移动到这些系统。
3. 建议迁移到 Microsoft Entra ID(以前称为 Azure Active Directory)身份验证,以降低本地泄露横向转移到身份验证服务器的风险。
妥协指标
转载来源:https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/
图片来源网络侵权可联系删除