Security Affairs 網站消息，微軟近期發(fā)現疑似與伊朗有關聯的 APT33 威脅組織（又名 Peach Sandstorm、Holmium、Elfin 和 Magic Hound）正在利用 FalseFont 惡意后門，瞄準全球各國的國防承包商。

微軟在報告中指出，其研究團隊觀察到疑似伊朗民族國家行為體  APT33 威脅組織目前正試圖向為國防工業(yè)基地（DIB）部門組織工作的員工，發(fā)送一個名為 FalseFont 的新型惡意后門。

據悉，2013 年，APT33 威脅組織開始活躍在互聯網世界中，自 2016 年年中以來，該組織一直將目標鎖定在航空業(yè)和與石化生產有關的能源公司，其中大部分攻擊目標鎖定在了中東，其他一些目標是美國、韓國和歐洲。

微軟近期觀察到 APT33 威脅組織正在試圖向國防工業(yè)基地 (DIB) 部門組織的工作人員發(fā)送名為 FalseFont 的新開發(fā)后門，該定制后門支持多種功能，允許威脅攻擊者遠程控制受感染系統(tǒng)并獲取敏感信息。值得一提的是，使用 FalseFont 是 APT33 發(fā)起攻擊行動的的標志性特征，也側面證實了組織一直在不斷改進其武器庫。

2023 年 11 月初，涉及 FalseFont 后門的網絡攻擊活動首次“面世”，FalseFont 的開發(fā)和使用正好與微軟在過去一年中觀察到的 APT 33 威脅組織活動高度一致，這種情況表明了 APT 33 威脅組織正在繼續(xù)改進其技術。

2023 年 9 月，微軟研究人員觀察到 APT 33 威脅組織在某次網絡攻擊活動中進行了一系列密碼噴射攻擊。2023 年 2 月至 7 月期間，該活動針對全球數千個組織，其攻擊的目標主要是衛(wèi)星、國防和制藥行業(yè)的組織。

密碼噴射是一種暴力破解攻擊，威脅攻擊者根據帶有應用程序默認密碼的用戶名列表進行暴力登錄，在這種攻擊情況下，威脅攻擊者使用一個密碼對應用程序上的多個不同賬戶進行攻擊，以避免在使用多個密碼對單個賬戶進行暴力登錄時會觸發(fā)的賬戶鎖定。

APT 33 組織威脅攻擊者一旦通過帳戶驗證，就會使用公開工具和自定義工具來查找其“感興趣"的信息、并試圖保持持久性、執(zhí)行橫向移動。

參考文章：https://securityaffairs.com/156366/apt/apt33-falsefont-targets-defense-sector.html