Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кампањата за злоупотреба на лозинки поврзана со Иран е насочена кон над 300 израелски организации на Microsoft 365

Објавено: 07.04.2026

Актор на закани поврзан со Иран се сомничи дека стои зад кампања за „password spraying“ насочена кон Microsoft 365 околини во Израел и Обединетите Арапски Емирати, во услови на тековен конфликт на Блискиот Исток.

Активноста, која сè уште е во тек, била изведена во три одделни бранови на напади што се случиле на 3 март, 13 март и 23 март 2026 година, според Check Point.

„Кампањата е првенствено фокусирана на Израел и Обединетите Арапски Емирати, при што се погодени повеќе од 300 организации во Израел и над 25 во ОАЕ“, соопшти израелската компанија за сајбер-безбедност. „Активности поврзани со истиот актер беа забележани и кај ограничен број цели во Европа, САД, Обединетото Кралство и Саудиска Арабија.“

Се проценува дека кампањата била насочена кон cloud околини на владини институции, општини, како и организации од технолошкиот, транспортниот, енергетскиот сектор и приватни компании во регионот.

„Password spraying“ е вид brute-force напад каде што напаѓачот користи една честа лозинка и ја пробува врз повеќе кориснички имиња во иста апликација. Ова се смета за поефикасен начин за откривање слаби акредитиви на големо ниво, без да се активираат механизми за ограничување на обиди (rate-limiting).

Според Check Point, оваа техника претходно била користена од ирански хакерски групи како Peach Sandstorm и Gray Sandstorm (поранешен DEV-0343) за инфилтрирање во мрежи на цели.

Кампањата се одвива во три фази:

  • агресивно скенирање или „password spraying“ преку Tor exit јазли
  • обид за најавување (login)
  • ексфилтрација на чувствителни податоци, како што е содржината на е-поштенските сандачиња

„Анализата на M365 логовите покажува сличности со Gray Sandstorm, вклучително и користење red-team алатки за изведување на овие напади преку Tor exit јазли“, соопшти Check Point. „Актерот користел комерцијални VPN јазли хостирани на AS35758 (Rachamim Aviel Twito), што се поклопува со неодамнешни активности поврзани со операции од ирански тип на Блискиот Исток.“

За да се спротивстават на оваа закана, на организациите им се препорачува:

  • да ги следат логовите за најавување за знаци на „password spraying“ напади
  • да применат conditional access контроли за ограничување на автентикацијата само на одобрени географски локации
  • да воведат мулти-факторска автентикација (MFA) за сите корисници
  • да овозможат audit логови за истрага по евентуален компромис

Иран повторно ги активира Pay2Key операциите

Ова откритие доаѓа во време кога американска здравствена организација била таргетирана кон крајот на февруари 2026 година од Pay2Key, иранска ransomware група поврзана со владата. Операцијата ransomware-as-a-service (RaaS), која има врски со групата Fox Kitten (позната и како Lemon Sandstorm, PARISITE, Pioneer Kitten и UNC757), првпат се појавила во 2020 година.

Варијантата користена во нападот претставува надградба во однос на кампањите забележани во јули 2025 година, со подобрени техники за избегнување детекција, извршување и анти-форензика. Според Beazley Security и Halcyon, во овој напад не била извршена ексфилтрација на податоци — што претставува отстапување од нивната претходна стратегија на „двојна изнуда“.

Нападот најверојатно користел непознат метод за почетен пристап, по што:

  • се користел легитимен алат за далечински пристап како TeamViewer за воспоставување пристап
  • се собирале акредитиви за латерално движење
  • се оневозможувал Microsoft Defender Antivirus со лажно сигнализирање дека постои друг антивирус
  • се попречувале механизми за опоравување
  • се распоредувал ransomware
  • се остава порака за откуп (ransom note)
  • се бришеле логовите за прикривање на трагите

„Со бришење на логовите на крајот од извршувањето, наместо на почетокот, напаѓачите обезбедуваат да се избрише и самата активност на ransomware-от, а не само претходните настани“, наведува Halcyon.

Нови тактики и проширување

Меѓу клучните промени што групата ги вовела по своето повторно појавување е:

  • зголемување на уделот за соработници (affiliates) од 70% на 80% од откупот, особено за напади насочени кон непријатели на Иран

Еден месец подоцна, била откриена и Linux верзија на Pay2Key ransomware:

  • конфигурациски управувана
  • бара root привилегии за извршување
  • може да пребарува низ широк опсег на фајл-системи
  • користи ChaCha20 енкрипција (целосна или делумна)

Пред енкрипцијата, малициозниот софтвер:

  • запира сервиси и процеси
  • ги оневозможува SELinux и AppArmor
  • додава cron задача за повторно стартување

Ова му овозможува да работи побрзо и да преживее рестартирања на системот.

Поширок геополитички контекст

Во март 2026 година, Halcyon откри дека администраторот на Sicarii ransomware, познат како Uke, ги повикал про-иранските оператори да го користат Baqiyat 313 Locker (BQTLock) поради зголемен интерес од соработници. Овој ransomware, со про-палестинска мотивација, таргетира цели во ОАЕ, САД и Израел од јули 2025 година.

„Иран има долгогодишна практика на користење сајбер операции како одговор на политички тензии“, соопшти компанијата за сајбер-безбедност. „Ransomware сè повеќе се интегрира во овие операции, при што кампањите ја замаглуваат границата помеѓу криминална изнуда и државно спонзорирана саботажа.“

Извори:

  • The Hacker News – Iran-Linked Password-Spraying Campaign Targets 300+ Israeli Microsoft 365 Organizations The Hacker News