Компания Microsoft сообщает, что иранские хакеры из группировки APT33 (она же Elfin, Refined Kitten, Peach Sandstorm и Holmium) атакуют организации оборонно-промышленного комплекса. В рамках этой кампании сети организаций заражают новым бэкдором FalseFont. Считается, что APT33 активна как минимум с 2023 года и обычно атакует широкий спектр отраслей в США, Саудовской Аравии и Южной Корее, включая правительственные организации, оборону, исследовательские институты, финансовые учреждения и так далее. В отчете, опубликованном в сентябре 2023 года, аналитики Microsoft связывали эту хак-группу с атаками типа password spray, которые продолжались с февраля по июль 2023 года и были направлены против тысяч организаций по всему миру. Тогда атаки в основном касались аэрокосмического, оборонного и фармацевтического секторов. Конечной целью этой кампании, по мнению исследователей, был сбор разведывательной информации, которая затем используется для поддержки государственных интересов Ирана. Как теперь сообщают эксперты Microsoft Threat Intelligence, впервые FalseFont был замечен в конце ноября 2023 года. Этот вредонос представляет собой кастомный бэкдор, который предоставляет своим операторам удаленный доступ к скомпрометированным системам, а также обеспечивает выполнение и передачу файлов на управляющие серверы, подконтрольные злоумышленникам. «Разработка и применение FalseFont согласуются с активностью Peach Sandstorm, которую Microsoft наблюдала в течение последнего года. Это свидетельствует о том, что Peach Sandstorm продолжает совершенствовать свои методы», — говорят исследователи.