Security Affairs 網(wǎng)站消息，微軟近期發(fā)現(xiàn)疑似與伊朗有關(guān)聯(lián)的 APT33 威脅組織（又名 Peach Sandstorm、Holmium、Elfin 和 Magic Hound）正在利用 FalseFont 惡意后門，瞄準(zhǔn)全球各國的國防承包商。

微軟在報告中指出，其研究團(tuán)隊觀察到疑似伊朗民族國家行為體  APT33 威脅組織目前正試圖向為國防工業(yè)基地（DIB）部門組織工作的員工，發(fā)送一個名為 FalseFont 的新型惡意后門。

據(jù)悉，2013 年，APT33 威脅組織開始活躍在互聯(lián)網(wǎng)世界中，自 2016 年年中以來，該組織一直將目標(biāo)鎖定在航空業(yè)和與石化生產(chǎn)有關(guān)的能源公司，其中大部分攻擊目標(biāo)鎖定在了中東，其他一些目標(biāo)是美國、韓國和歐洲。

微軟近期觀察到 APT33 威脅組織正在試圖向國防工業(yè)基地 (DIB) 部門組織的工作人員發(fā)送名為 FalseFont 的新開發(fā)后門，該定制后門支持多種功能，允許威脅攻擊者遠(yuǎn)程控制受感染系統(tǒng)并獲取敏感信息。值得一提的是，使用 FalseFont 是 APT33 發(fā)起攻擊行動的的標(biāo)志性特征，也側(cè)面證實了組織一直在不斷改進(jìn)其武器庫。

2023 年 11 月初，涉及 FalseFont 后門的網(wǎng)絡(luò)攻擊活動首次“面世”，F(xiàn)alseFont 的開發(fā)和使用正好與微軟在過去一年中觀察到的 APT 33 威脅組織活動高度一致，這種情況表明了 APT 33 威脅組織正在繼續(xù)改進(jìn)其技術(shù)。

2023 年 9 月，微軟研究人員觀察到 APT 33 威脅組織在某次網(wǎng)絡(luò)攻擊活動中進(jìn)行了一系列密碼噴射攻擊。2023 年 2 月至 7 月期間，該活動針對全球數(shù)千個組織，其攻擊的目標(biāo)主要是衛(wèi)星、國防和制藥行業(yè)的組織。

密碼噴射是一種暴力破解攻擊，威脅攻擊者根據(jù)帶有應(yīng)用程序默認(rèn)密碼的用戶名列表進(jìn)行暴力登錄，在這種攻擊情況下，威脅攻擊者使用一個密碼對應(yīng)用程序上的多個不同賬戶進(jìn)行攻擊，以避免在使用多個密碼對單個賬戶進(jìn)行暴力登錄時會觸發(fā)的賬戶鎖定。

APT 33 組織威脅攻擊者一旦通過帳戶驗證，就會使用公開工具和自定義工具來查找其“感興趣"的信息、并試圖保持持久性、執(zhí)行橫向移動。

參考文章：https://securityaffairs.com/156366/apt/apt33-falsefont-targets-defense-sector.html