Pelaku Ancaman Gray Sandstorm

Gray Sandstorm (sebelumnya disebut dengan DEV-0343), melakukan penyemprotan kata sandi (password-spray) ekstensif, meniru browser Firefox dan menggunakan IP yang dihosting di jaringan proksi Tor. Bergantung pada ukurannya, mereka biasanya menarget lusinan hingga ratusan akun di dalam sebuah organisasi, melancarkan enumerasi untuk setiap akun mulai dari puluhan hingga ribuan kali. Secara rata-rata, ada 150 hingga 1.000+ alamat IP proksi Tor unik yang digunakan untuk menyerang setiap organisasi.

Operator Gray Sandstorm biasanya menarget dua titik akhir Exchange – Autodiscover dan ActiveSync – sebagai fitur alat penyemprotan enumerasi/kata sandi yang mereka gunakan. Dengan cara ini, Gray Sandstorm dapat memvalidasi akun dan kata sandi aktif, membuat aktivitas penyemprotan kata sandi mereka menjadi semakin sempurna.

Negara asal: Industri yang menjadi target:

Iran Pertahanan

Negara yang menjadi target:

Israel

Amerika Serikat

Pelaku Ancaman Negara Bangsa

Pelaku Negara Bangsa

Gray Sandstorm

Artikel terkait

Laporan akhir mengenai serangan negara-bangsa NOBELIUM yang belum pernah terjadi sebelumnya

Tren yang tengah berkembang di dalam aktivitas pelaku ancaman Iran – presentasi MSTIC di CyberWarCon 2021

DEV-0343 yang terkait Iran kini menarget pertahanan, sistem informasi geografis (GIS), dan sektor maritim