Trace Id is missing

Nation-state actor

Gray Sandstorm

Download
Deel
Een close-up van een planeet

Gray Sandstorm (voorheen DEV-0343) voert uitgebreid wachtwoordspray uit via een geïmiteerde Firefox-browser en gebruikt IP's die worden gehost op een Tor-proxynetwerk. Meestal valt de groep tientallen tot honderden accounts aan binnen een organisatie, afhankelijk van de grootte. Elk account wordt tientallen tot duizenden keren opgesomd. Gemiddeld worden er 150 tot meer dan 1000 unieke Tor-proxy-IP-adressen gebruikt in aanvallen tegen elke organisatie.

Als een kenmerk van de gebruikte opsomming/wachtwoordspray, vallen Gray Sandstorm-operators meestal twee Exchange-eindpunten aan: Autodiscover en ActiveSync. Hierdoor kan Gray Sandstorm actieve accounts en wachtwoorden valideren en hun activiteit met wachtwoordspray verder verfijnen.

Land van herkomst:                                                                      Aangevallen branches:

 

Iran                                                                                                Defensie

                                         

Aangevallen landen:

 

Israël

 

Verenigde Staten                                                                                                     

Verwante artikelen

Het laatste rapport over NOBELIUM's ongeëvenaarde aanval door een natiestaat

Meer informatie

Zich ontwikkelende trends in de activiteiten van Iraanse bedreigingsactoren - MSTIC-presentatie tijdens CyberWarCon 2021

Meer informatie

Het aan Iran gekoppelde DEV-0343 valt defensie, GIS en maritieme sectoren aan

Meer informatie