Negli ultimi mesi, le agenzie di cybersecurity e intelligence di Stati Uniti, Australia e Canada hanno lanciato un avviso riguardante una campagna di attacchi informatici portata avanti da attori iraniani. Questo gruppo si sarebbe infiltrato nelle infrastrutture critiche attraverso attacchi di forza bruta e password spraying. Settori come sanità, governo, tecnologia dell'informazione, ingegneria ed energia sono stati particolarmente colpiti, mettendo in pericolo sistemi essenziali per la sicurezza nazionale.

Gli attacchi, iniziati nell'ottobre 2023, hanno sfruttato tecniche avanzate come il "push bombing" di autenticazione multi-fattore (MFA), che consiste nell'inviare un gran numero di notifiche MFA a un utente per convincerlo ad approvare l'accesso per errore o per fastidio. Questo metodo, chiamato anche "MFA fatigue", risulta particolarmente efficace se le aziende non utilizzano soluzioni MFA resistenti al phishing. In alternativa, il numero di matching, che richiede agli utenti di inserire un codice specifico di tempo, può essere una valida misura protettiva.

L'obiettivo principale di questi attacchi è ottenere credenziali e informazioni sui network vittima, che successivamente vengono vendute a cybercriminali per ulteriori attività illecite. Dopo aver ottenuto l'accesso iniziale, gli aggressori conducono una ricognizione approfondita dei sistemi usando strumenti nativi del sistema (LotL). Utilizzano vulnerabilità come CVE-2020-1472, nota come Zerologon, per aumentare i privilegi e muoversi lateralmente attraverso il Remote Desktop Protocol (RDP). Inoltre, registrano i propri dispositivi con MFA per mantenere l'accesso persistente.

I cyberattacchi sono caratterizzati dall'uso di msedge.exe per stabilire connessioni esterne con infrastrutture di controllo Cobalt Strike. Gli attori della minaccia compiono operazioni di scoperta sui network compromessi per ottenere ulteriori credenziali e identificare altre informazioni utili per espandere l'accesso. Queste informazioni vengono poi vendute nei forum di cybercriminalità per consentire ad altri attori di condurre attività dannose aggiuntive.

L'allerta arriva poco dopo che le agenzie dei paesi Five Eyes hanno pubblicato linee guida sulle tecniche comuni usate dagli attori di minacce per compromettere Active Directory. Questo sistema è ampiamente utilizzato per l'autenticazione e l'autorizzazione nelle reti IT aziendali a livello globale e rappresenta un obiettivo frequente per l'escalation dei privilegi.

Il panorama delle minacce sta evolvendo, con gruppi di hacking legati agli stati nazionali che collaborano sempre più spesso con cybercriminali per motivi geopolitici e finanziari. Secondo Microsoft, questi attori statali conducono operazioni per guadagno finanziario e raccolta di intelligence, spesso utilizzando gli stessi strumenti prediletti dalla comunità criminale informatica.