APT 33 威胁组织“盯上了”全球国防工业部门

Security Affairs 网站消息 ，盯上了微软近期发现疑似与伊朗有关联的胁组 APT33 威胁组织（又名 Peach Sandstorm 、Holmium 、织全Elfin 和 Magic Hound）正在利用 FalseFont 恶意后门，球国瞄准全球各国的防工国防承包商
。

微软在报告中指出
，业部其研究团队观察到疑似伊朗民族国家行为体  APT33 威胁组织目前正试图向为国防工业基地（DIB）部门组织工作的盯上了员工 ，发送一个名为 FalseFont 的胁组新型恶意后门。服务器租用

据悉
，织全2013 年，球国APT33 威胁组织开始活跃在互联网世界中 ，防工自 2016 年年中以来，业部该组织一直将目标锁定在航空业和与石化生产有关的盯上了能源公司，其中大部分攻击目标锁定在了中东，胁组其他一些目标是织全美国 、韩国和欧洲 。

微软近期观察到 APT33 威胁组织正在试图向国防工业基地 (DIB) 部门组织的模板下载工作人员发送名为 FalseFont 的新开发后门 ，该定制后门支持多种功能 ，允许威胁攻击者远程控制受感染系统并获取敏感信息。值得一提的是
，使用 FalseFont 是 APT33 发起攻击行动的的标志性特征，源码下载也侧面证实了组织一直在不断改进其武器库。

2023 年 11 月初，涉及 FalseFont 后门的网络攻击活动首次“面世” ，FalseFont 的开发和使用正好与微软在过去一年中观察到的 APT 33 威胁组织活动高度一致，这种情况表明了 APT 33 威胁组织正在继续改进其技术。

2023 年 9 月，微软研究人员观察到 APT 33 威胁组织在某次网络攻击活动中进行了一系列密码喷射攻击。2023 年 2 月至 7 月期间，香港云服务器该活动针对全球数千个组织，其攻击的目标主要是卫星、国防和制药行业的组织。

密码喷射是一种暴力破解攻击
，威胁攻击者根据带有应用程序默认密码的用户名列表进行暴力登录，在这种攻击情况下
，高防服务器威胁攻击者使用一个密码对应用程序上的多个不同账户进行攻击
，以避免在使用多个密码对单个账户进行暴力登录时会触发的账户锁定。

APT 33 组织威胁攻击者一旦通过帐户验证，就会使用公开工具和自定义工具来查找其“感兴趣"的信息 、并试图保持持久性
、执行横向移动。

参考文章：https://securityaffairs.com/156366/apt/apt33-falsefont-targets-defense-sector.html