З липня 2021 року центр розвідки загроз microsoft (mstic) відстежує нове джерело активності, спрямоване на американські та ізраїльські оборонні компанії, морські підприємства, присутні на близькому сході, і порти заходу в перську затоку, йдеться в повідомленні компанії в блозі. Аналіз цієї діяльності привів компанію до висновку, що вона підтримується іранською державою

.

Mstic присвоює назви dev-#### з’являються і невідомим групам загроз до тих пір, поки у компанії не з’явиться високий ступінь впевненості в їх походження або в тому, хто за ними стоїть. Цьому угрупованню було присвоєно позначення dev-0343, і було встановлено, що вона активна в основному з неділі по четвер, з 7:30 ранку до 8:30 вечора за іранським часом (04:00:00 і 17:00:00 utc), йдеться в повідомленні компанії в блозі.

Цілями є не тільки оборонні компанії

Діяльність dev-0343 була спрямована на оборонні компанії, які виробляють військово-промислові радари, безпілотні технології, супутникові системи і системи зв’язку екстреного реагування для підтримки урядів сша, єс та ізраїлю. Вона також атакувала морські та вантажні транспортні компанії, що працюють на близькому сході. Серед його цілей також «клієнти в області географічних інформаційних систем( гіс), просторової аналітики, регіональних портів прибуття в перській затоці», — йдеться в повідомленні в блозі.

Хакери використовують техніку розпилення паролів — коли одні і ті ж паролі циклічно використовуються під різними іменами користувачів для входу в мережі в обхід блокування. Для цього використовуються емулятори браузерів firefox або chrome, які маскуються за допомогою в середньому 150-1000 унікальних ip-адрес tor, йдеться в повідомленні компанії.

На даний момент microsoft виявила подібні атаки на більш ніж 250 користувачів office 365, сфокусовані на двох кінцевих вузлах — autodiscover і activesync в службах exchange. Проте менше 20 користувачів були скомпрометовані, і компанія зв’язалася з клієнтами, щоб повідомити їх і вжити необхідних заходів для захисту своїх облікових записів.

Компанія microsoft вважає, що характер дій вказує на те, що ця діяльність виходить з території ірану. На думку авторів блогу, доступ, отриманий в результаті цих атак, швидше за все, допоможе ірану компенсувати розвивається супутникову програму.

Microsoft рекомендує клієнтам включити багатофакторну аутентифікацію для захисту скомпрометованих облікових даних, використовувати безпарольні рішення, такі як authenticator, переглянути і застосовувати рекомендовані політики доступу і блокувати вхідний трафік від служб анонімайзерів, де це можливо.