كانت مجموعة القرصنة المدعومة من الحكومة الإيرانية والمعروفة باسم APT 33 نشطة لأكثر من 10 سنوات، حيث أجرت عمليات تجسس عدوانية ضد مجموعة متنوعة من ضحايا القطاعين العام والخاص في جميع أنحاء العالم، بما في ذلك أهداف البنية التحتية الحيوية. وبينما تشتهر المجموعة بشكل خاص بالهجمات الاستراتيجية ولكن البسيطة من الناحية الفنية مثل “رش كلمات المرور”، فقد شاركت أيضًا في تطوير أدوات قرصنة أكثر تطوراً، بما في ذلك البرامج الضارة المدمرة المحتملة المصممة لتعطيل أنظمة التحكم الصناعية. الآن، تشير النتائج التي أصدرتها مايكروسوفت يوم الأربعاء إلى أن المجموعة تواصل تطوير تقنياتها باستخدام باب خلفي جديد متعدد المراحل.
وتقول شركة مايكروسوفت للأمن المعلوماتي إن المجموعة التي أطلقت عليها اسم Peach Sandstorm طورت برامج خبيثة مخصصة يمكن للمهاجمين استخدامها لإنشاء وصول عن بعد إلى شبكات الضحايا. ويصيب الباب الخلفي، الذي أطلقت عليه مايكروسوفت اسم “Tickler” لسبب ما، الهدف بعد أن تحصل مجموعة القرصنة على وصول أولي عبر رش كلمة المرور أو الهندسة الاجتماعية. وبدءًا من أبريل وحتى يوليو، لاحظ الباحثون أن Peach Sandstorm تنشر الباب الخلفي ضد الضحايا في قطاعات بما في ذلك الأقمار الصناعية ومعدات الاتصالات والنفط والغاز. وتقول مايكروسوفت أيضًا إن المجموعة استخدمت البرامج الضارة لاستهداف كيانات حكومية فيدرالية وحكومية في الولايات المتحدة والإمارات العربية المتحدة.
قالت شركة Microsoft Threat Intelligence في تقريرها يوم الأربعاء: “نحن نشارك أبحاثنا حول استخدام Peach Sandstorm لـ Tickler لزيادة الوعي بالأساليب التجارية المتطورة لهذا الفاعل التهديدي”. “يتوافق هذا النشاط مع أهداف جمع المعلومات الاستخباراتية المستمرة للفاعل التهديدي ويمثل أحدث تطور لعملياتهم السيبرانية طويلة الأمد”.
لاحظ الباحثون أن Peach Sandstorm قامت بنشر Tickler ثم قامت بالتلاعب بالبنية التحتية السحابية Azure للضحية باستخدام اشتراكات Azure الخاصة بالمخترقين للحصول على السيطرة الكاملة على الأنظمة المستهدفة. وتقول Microsoft إنها أخطرت العملاء الذين تأثروا بالاستهداف الذي لاحظه الباحثون.
كما واصلت المجموعة هجمات رش كلمات المرور منخفضة التقنية، وفقًا لمايكروسوفت، حيث يحاول المتسللون الوصول إلى العديد من الحسابات المستهدفة من خلال تخمين كلمات المرور المسربة أو الشائعة حتى يسمح لهم أحدهم بالدخول. تستخدم Peach Sandstorm هذه التقنية للوصول إلى أنظمة مستهدفة لإصابتها بالباب الخلفي Tickler ولأنواع أخرى من عمليات التجسس. منذ فبراير 2023، يقول الباحثون إنهم لاحظوا أن المتسللين “يقومون بنشاط رش كلمات المرور ضد آلاف المنظمات”. وفي أبريل ومايو 2024، لاحظت مايكروسوفت استخدام Peach Sandstorm لرش كلمات المرور لاستهداف المنظمات في الولايات المتحدة وأستراليا التي تعمل في قطاعات الفضاء والدفاع والحكومة والتعليم.
وكتبت مايكروسوفت: “واصلت Peach Sandstorm أيضًا تنفيذ هجمات رش كلمات المرور ضد القطاع التعليمي لشراء البنية التحتية وضد قطاعات الأقمار الصناعية والحكومة والدفاع كأهداف أساسية لجمع المعلومات الاستخباراتية”.
ويقول الباحثون إنه بالإضافة إلى هذا النشاط، واصلت العصابة أيضًا عمليات الهندسة الاجتماعية على شبكة التواصل الاجتماعي المهنية المملوكة لشركة Microsoft LinkedIn، والتي يقولون إنها تعود إلى نوفمبر 2021 على الأقل واستمرت حتى منتصف عام 2024. ولاحظت Microsoft أن المجموعة تقوم بإنشاء ملفات تعريف على LinkedIn تدعي أنها لطلاب ومطوري برامج ومديري اكتساب المواهب الذين يُفترض أنهم مقيمون في الولايات المتحدة وأوروبا الغربية.
وكتبت شركة مايكروسوفت: “استخدمت Peach Sandstorm هذه الحسابات في المقام الأول لجمع المعلومات الاستخباراتية والهندسة الاجتماعية المحتملة ضد التعليم العالي وقطاعات الأقمار الصناعية والصناعات ذات الصلة. وتم بعد ذلك إغلاق حسابات LinkedIn التي تم تحديدها”.
كان المتسللون الإيرانيون نشطين وعدوانيين على الساحة الدولية لسنوات ولم يظهروا أي علامات على التباطؤ. في وقت سابق من هذا الشهر، ظهرت تقارير تفيد بأن مجموعة إيرانية مختلفة كانت تستهدف دورة الانتخابات الأمريكية لعام 2024، بما في ذلك الهجمات ضد حملتي ترامب وهاريس.