Attore di minacce Gray Sandstorm

Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpiscono da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni ed enumerano ogni account da decine a migliaia di volte. In media, negli attacchi contro ogni organizzazione vengono usati tra i 150 e gli oltre 1000 indirizzi IP proxy unici.

Gli operatori Gray Sandstorm in genere colpiscono due endpoint Exchange: Autodiscover e ActiveSync, come funzionalità dello strumento di enumerazione/password spraying che usano. Ciò consente a Gray Sandstorm di convalidare gli account e le password attivi e di perfezionare ulteriormente la propria attività di password spraying.

Paese di origine: Settori colpiti:

Iran Difesa

Paesi colpiti:

Israele

Stati Uniti

Attori di minacce Stato-nazione

Attore di stato-nazione

Gray Sandstorm

Articoli correlati

Il report finale sull’attacco stato nazione senza precedenti di NOBELIUM

Nuove tendenze nell'attività dell'attore di minacce iraniano – Presentazione MSTIC al CyberWarCon 2021

Attacchi DEV-0343 collegati all'Iran contro settori della difesa, GIS e marittimi