Acteur de la menace Gray Sandstorm

Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois. En moyenne, entre 150 et plus de 1 000 adresses IP uniques du proxy Tor sont utilisées dans des attaques contre chaque organisation.

Les opérateurs Gray Sandstorm ciblent généralement deux points de terminaison Exchange (Autodiscover et ActiveSync) comme fonctionnalité de l’outil d’énumération et de pulvérisation de mots de passe qu’ils utilisent. Cela permet à Gray Sandstorm de valider des comptes et des mots de passe actifs et de perfectionner son activité de pulvérisation de mots de passe.

Pays d’origine : Secteurs ciblés :

Iran Défense

Pays ciblés :

Israël

États-Unis

Acteurs de la menace État-nation

Acteur émanant d’un État-nation

Gray Sandstorm

Articles connexes

Le rapport final sur l’attaque sans précédent de NOBELIUM à l’encontre d’un État-nation

Évolution des tendances dans l’activité des acteurs de la menace iraniens – Présentation du MSTIC à la CyberWarCon 2021

DEV-0343 lié à l’Iran ciblant la défense, le SIG et les secteurs maritimes