伊朗国家威胁组织APT33的攻击行动

文章重点

APT33推动了一项持续数个月的全球密码喷洒攻击，成功盗取数千个机构的资料。微软指出，APT33的攻击技术比过去更为先进，主要针对卫星、防御及药品行业。该组织利用公共和自订工具进行侦查、持续性维持及横向移动。APT33利用已知的漏洞进行二次攻击，特别是针对Zoho ManageEngine及Atlassian Confluence的远端代码执行漏洞。

APT33又称为桃沙暴、Holmium及Refined Kitten是一个持续性威胁APT组织，近期展开了针对全球大量机构的密码喷洒攻击，这项活动自2月开始，并展现出相比于以往攻击更为复杂的战术、技巧和流程TTPs。根据微软的评估，APT33的初步访问行动可能是为了促进有利于伊朗国家利益的情报收集。

plaintext密码喷洒攻击的方式是，针对一个组织的多个账户，尝试使用有限数量的常用密码进行登录，与之相比，暴力破解攻击则是对单一账户进行大量的登录尝试。

微软表示，在APT33成功入侵目标的案例中，该组织运用了多种公共和自订工具进行发现、持续性维持和横向移动。在微软观察到的一些入侵事件中，还发现数据被窃取。

APT33使用的工具包括AzureHound和Roadtools，这些工具被用来在微软Entra ID中进行侦查。微软指出，“这些工具的功能不仅对合法用户有益，还使得寻求信息的对手能够轻松访问数据。”

有一些情况下，APT33创建了新的Azure订阅，并利用这些订阅执行进一步攻击，保持在目标组织环境中的持续性。

管理引擎与Confluence漏洞的利用

在第二波活动中，APT33试图利用两个广为人知的漏洞来进入目标环境。第一个是影响Zoho ManageEngine产品的远程代码执行漏洞CVE202247966，最近北韩的Lazarus组织和一个未知的组织均有利用此漏洞针对美国的航空机构。

clash加速器

第二个漏洞是Atlassian的Confluence Server和Data Center中的一个远程代码执行漏洞CVE202226134。

当APT33在其偏好的防御、卫星和药品领域成功入侵组织时，微软观察到了该威胁行为者执行的一系列后续活动。其中，一些入侵事件中它部署了AnyDesk这个合法的远程监控及管理工具，该工具可被网络犯罪分子滥用以远程访问网络，并在被骇环境中保持持续性。

微软指出：“AnyDesk这类工具的便利性和实用性，因在注意到资讯技术支援人员或系统管理员在正常环境中使用它而合法而更加突出。”

尽管APT33先前主要依赖于密码喷洒攻击来渗透目标组织，但在最新活动中部署的基于云的TTPs，则被认为“相较于以往更为复杂”。

本周早些时候，ESET披露了另一个伊朗APT组织Charming Kitten的行动细节。该组织针对易受攻击的微软Exchange伺服器进行了一场“扫描与利用”攻击，受影响的组织至少有34个，主要集中在以色列。