O grupo de hackers iraniano APT33 desenvolveu um novo malware chamado FalseFont. Eles o usam para atingir o Base Industrial de Defesa mundialmente. Microsoft relata aumento em sua atividade em dezembro, 2023.
APT33 tem como alvo empresas de defesa com malware FalseFont
Pesquisadores recentemente lançaram luz em uma nova campanha de ciberespionagem. O grupo iraniano APT33 vem implantando um malware backdoor recém-desenvolvido, Fonte Falsa, visando a base industrial de defesa global (VOLTAR). O setor DIB, composta sobre 100,000 empresas e subcontratados, enfrenta risco aumentado. Ser integro desenvolvimento de sistemas de armas militares, essas entidades são os principais alvos da espionagem cibernética.
A campanha FalseFont continua uma série de ataques que começaram em fevereiro 2023. Tempestade de areia de pêssego envolvida em extensive password spray attacks contra milhares de organizações globais. FalseFont é um backdoor personalizado que permite acesso remoto a sistemas comprometidos. Esta ferramenta fornece aos seus operadores amplo controle, incluindo execução de arquivos e transferência para servidores de comando e controle. Detectado no início de novembro 2023, FalseFont marca uma evolução significativa na arte comercial da Peach Sandstorm.
Mais sobre o Grupo APT33
APT33, também conhecido como tempestade de areia de pêssego, Gatinho Refinado, ou Hólmio, é um grupo iraniano de espionagem cibernética ativo desde pelo menos 2013. É considerada uma ameaça de alto risco devido ao uso sofisticado de malware, engenharia social complexa, e ataques direcionados contra organizações de alto valor. A gangue tem como alvo principal organizações nos Estados Unidos, Arábia Saudita, e Coreia do Sul. Parece estar particularmente interessado em os setores aeroespacial e de energia.
Eles usam ataques de phishing, explorar vulnerabilidades de software e credenciais roubadas para acessar redes, e desenvolver malware personalizado. Acredita-se que o APT33 esteja trabalhando em nome do governo iraniano. Eles têm sido associados a diversas campanhas de espionagem cibernética que visam roubar informações sobre política, tecnologias militares, energia, e infraestrutura.
Malware no Oriente Médio em ascensão
Contra a atual situação geopolítica, atores de ameaças afiliados à Rússia ocuparam grande parte do centro das atenções. Embora a Rússia e o Irão sejam do mesmo tipo, a situação atual traz alguma diversidade. À primeira vista, Malware do Oriente Médio pode parecer local. Mas a julgar pelas bandeiras vermelhas, estes AT também podem causar problemas de segurança para outros países, tanto na Europa como em outros continentes.
Estes desenvolvimentos sugerem que os países do Médio Oriente estão investindo pesadamente em recursos de espionagem digital, focando em alvos estratégicos em todo o mundo, especialmente nos setores de defesa e tecnologia, seja lá o que isso signifique. Geral, pode-se concluir que mesmo sob sanções, um governo preocupado pode se dar ao luxo de manter hackers patrocinados pelo estado.
Medidas e recomendações proativas
As organizações que operam nos setores aeroespacial e energético devem priorizar a segurança dos seus sistemas de infraestrutura crítica. Especialmente para entidades localizadas em países hostis ao Irão, é crucial exercitar-se mais cautela contra ataques de phishing e engenharia social.
Especialistas que monitoram e relatam essas ameaças aconselham os defensores da rede a redefinir credenciais e revogar cookies de sessão para contas alvo desses ataques. Implementando autenticação multifator para contas e endpoints também é recomendado para fortalecer as defesas contra essas ameaças cibernéticas sofisticadas.
