Các tổ chức trong lĩnh vực Cơ sở Công nghiệp Quốc phòng (DIB) đang nằm trong tầm ngắm của một tác nhân đe dọa Iran như một phần của chiến dịch được thiết kế để cung cấp một cửa hậu chưa từng thấy trước đây có tên là FalseFont.
Những phát hiện đến từ Microsoft, công ty đang theo dõi hoạt động dưới biệt danh theo chủ đề thời tiết Peach Sandstorm (trước đây là Holmium), còn được gọi là APT33, Elfin và Refined Kitten.
"FalseFont là một backdoor tùy chỉnh với một loạt các chức năng cho phép các nhà khai thác truy cập từ xa vào một hệ thống bị nhiễm, khởi chạy các tệp bổ sung và gửi thông tin đến các máy chủ [chỉ huy và kiểm soát] của nó", nhóm Microsoft Threat Intelligence cho biết trên X (trước đây là Twitter).
Lần đầu tiên sử dụng implant được ghi nhận là vào đầu tháng 11/2023.
Gã khổng lồ công nghệ nói thêm rằng sự phát triển mới nhất phù hợp với hoạt động trước đó từ Peach Sandstorm và thể hiện sự phát triển liên tục của nghề nghiệp của tác nhân đe dọa.
Trong một báo cáo được công bố vào tháng 9/2023, Microsoft đã liên kết nhóm này với các cuộc tấn công lần dò mật khẩu được thực hiện chống lại hàng nghìn tổ chức trên toàn cầu trong khoảng thời gian từ tháng 2 đến tháng 7/2023. Các cuộc xâm nhập chủ yếu nhắm vào các lĩnh vực vệ tinh, quốc phòng và dược phẩm.
Mục tiêu cuối cùng, công ty cho biết, là tạo điều kiện thuận lợi cho việc thu thập thông tin tình báo để hỗ trợ lợi ích nhà nước Iran. Peach Sandstorm được cho là đã hoạt động ít nhất từ năm 2013.
Tiết lộ được đưa ra khi Tổng cục Không gian mạng Quốc gia Israel (INCD) cáo buộc Iran và Hezbollah cố gắng nhắm mục tiêu không thành công vào Bệnh viện Ziv thông qua các nhóm tin tặc có tên Agrius và Lebanon Cedar.
Cơ quan này cũng tiết lộ chi tiết về một chiến dịch lừa đảo, trong đó một lời khuyên giả mạo về lỗ hổng bảo mật trong các sản phẩm F5 BIG-IP được sử dụng làm mồi nhử để cung cấp phần mềm độc hại xóa dữ liệu trên các hệ thống Windows và Linux.
Điểm mấu chốt cho cuộc tấn công có chủ đích là lỗ hổng bỏ qua xác thực nghiêm trọng (CVE-2023-46747, điểm CVSS: 9,8) được đưa ra ánh sáng vào cuối tháng 10/2023. Quy mô của chiến dịch hiện vẫn chưa được biết.