近日，微軟稱伊朗網(wǎng)絡(luò)間諜組織 APT33 正在利用 FalseFont 后門惡意軟件攻擊全球國防工業(yè)基地。

據(jù)觀察，伊朗民族國家黑客Peach Sandstorm 曾試圖向國防工業(yè)基地（DIB）部門的組織員工發(fā)送名為 FalseFont 的開發(fā)后門。此類攻擊針對的目標(biāo)包括 10 萬多家參與研究和開發(fā)軍事武器系統(tǒng)、子系統(tǒng)和組件的國防公司和分包商。

該黑客組織又名 Peach Sandstorm\HOLMIUM \Refined Kitten，自 2013 年起就活動頻繁。他們的攻擊目標(biāo)橫跨美國、沙特阿拉伯和韓國的多個行業(yè)領(lǐng)域，還包括政府、國防、研究、金融和工程等垂直行業(yè)。

此次微軟公布的FalseFont是該組織最新行動中部署的自定義后門，它為操作員提供了遠(yuǎn)程訪問被入侵系統(tǒng)、執(zhí)行文件和向其指揮控制（C2）服務(wù)器傳輸文件的功能。

微軟方面表示，這個后門是在今年 11 月初首次在野外被發(fā)現(xiàn)。

Redmond表示：FalseFont的相關(guān)威脅行動與微軟在過去一年中觀察到的Peach Sandstorm活動一致，這表明Peach Sandstorm的技術(shù)在持續(xù)精進(jìn)。他建議各組織機(jī)構(gòu)重置密碼、撤銷會話cookie，并使用多因素身份驗證（MFA）確保賬戶和RDP或Windows虛擬桌面端點(diǎn)的安全，從而減少 APT33 黑客的攻擊面。

遭受攻擊的國防承包商

今年 9 月，微軟曾發(fā)布警告聲明稱自 2 月以來，APT33 威脅組織針對全球數(shù)以千計的組織（包括國防部門）發(fā)起了大范圍的密碼噴射攻擊。

據(jù)微軟威脅情報團(tuán)隊稱：2023 年 2 月至 7 月間，Peach Sandstorm 發(fā)起了一波密碼噴射攻擊，試圖對數(shù)千個環(huán)境進(jìn)行身份驗證。

在2023年一整年，Peach Sandstorm一直展現(xiàn)出對美國和其他國家的衛(wèi)星、國防部門組織以及制藥部門的興趣。一旦發(fā)起攻擊極易導(dǎo)致國防、衛(wèi)星和制藥領(lǐng)域的數(shù)據(jù)泄露。

微軟威脅情報中心（MSTIC）的研究人員還發(fā)現(xiàn)了另一個與伊朗有關(guān)的黑客組織，名為DEV-0343。微軟2012年10月的一份報告顯示，該組織兩年前也曾攻擊過美國和以色列的國防科技公司。