Peach Sandstorm nutzt Azure-Infrastruktur für Cyberspionage

- Warnmeldung

Die Cybergruppierung Peach Sandstorm, die mit dem Iran in Verbindung gebracht wird, setzt eine neue Schadsoftware ein. Die Gruppierung nutzte für Kampagnen gegen verschiedene kritische Bereiche das Schadprogramm Tickler und missbrauchte dabei die Azure-Infrastruktur von Microsoft. Davor warnt das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW). IoCs sind veröffentlicht.
Fahne vor Gebäude des Landesamts für Verfassungsschutz

© LfV Baden-Württemberg

Kritische Spionageziele

Ziel der Angriffe waren unter anderem öffentliche Verwaltungen, der Verteidigungssektor sowie Kommunikationsinfrastruktur sowohl in den USA als auch in den Vereinigten Arabischen Emiraten. Als Command-and-Control-Infrastruktur missbrauchte Peach Sandstorm dabei Microsoft Azure. Um sich zusätzliche Informationen zu verschaffen, die für einen Angriff nützlich sein könnten, setzte die Gruppierung wohl auch Social-Engineering-Techniken auf LinkedIn ein.

Microsoft veröffentlichte zur bisher bekannten Vorgehensweise von Peach Sandstorm in Verbindung mit Tickler einen ausführlichen Bericht mit Kompromittierungsindikatoren (IoCs).

  • Peach Sandstorm ist auch unter folgenden Namen bekannt:

    • APT33
    • Holmium
    • Elfin
    • Refined Kitten
    • Magic Hound