Secondo Microsoft, l’attività di cyberspionaggio iraniana sta prendendo di mira le aziende della Difesa degli Stati Uniti con una nuova backdoor chiamata FalseFont. Il team di intelligence sulle minacce di Microsoft ha rilevato un gruppo sostenuto dallo stato, denominato Peach Sandstrom, APT33, che tenta di distribuire il malware (presumibilmente per Windows) agli impiegati del settore della difesa.
FalseFont: Backdoor personalizzata
FalseFont è una backdoor personalizzato con un’ampia gamma di funzionalità che permettono agli operatori di accedere a distanza a un sistema infetto, lanciare file aggiuntivi e inviare informazioni ai suoi server C2. È stato osservato per la prima volta in uso contro obiettivi all’inizio di novembre 2023.
APT33: Il Gruppo dietro gli Attacchi
Mandiant, che traccia il gruppo sostenuto dall’Iran come APT33, afferma che mira a organizzazioni negli Stati Uniti, in Arabia Saudita e in Corea del Sud per “cyberspionaggio strategico”, con un interesse particolare per le aziende di aviazione commerciale e militare, nonché per quelle nel settore energetico legate alla produzione petrolchimica.
Attività di Peach Sandstrom
Quando questi attacchi di forza bruta hanno successo, Peach Sandstrom utilizza una combinazione di strumenti pubblici e personalizzati per esplorare la rete, mantenere la persistenza e muoversi lateralmente attraverso i sistemi IT della vittima. In un piccolo numero di intrusioni, Peach Sandstrom è stato osservato mentre esfiltrava dati dall’ambiente compromesso.
Implicazioni per la Sicurezza
Questi attacchi sottolineano l’importanza di una solida sicurezza informatica, specialmente per le organizzazioni all’interno della base industriale difensiva. La capacità di FalseFont di accedere a distanza ai sistemi e inviare informazioni ai server C2 rappresenta una minaccia significativa per la sicurezza delle informazioni e l’integrità operativa di queste organizzazioni.
La rivelazione di questi attacchi di cyberspionaggio iraniani contro la base industriale difensiva degli Stati Uniti evidenzia la continua evoluzione delle minacce informatiche e la necessità per le organizzazioni di rimanere vigili e ben protette contro tali attacchi.