Ирански хакери внедряват зловреден софтуер Tickler при кибератаки с високи залози
В тревожно развитие за глобалната киберсигурност, ирански държавно спонсорирани хакери въведоха нов персонализиран зловреден софтуер, наречен Tickler , за проникване и събиране на разузнавателна информация за критична инфраструктура в Съединените щати и Обединените арабски емирства. Групата зад тази сложна кампания, проследявана от Microsoft като Peach Sandstorm — известна също под различни други псевдоними като APT33 , Elfin и Refined Kitten — е безмилостна в преследването на ценни данни от целевите сектори.
Съдържание
Нова заплаха в Cyber Arena
Tickler не е просто още един зловреден софтуер; това представлява значителен скок във възможностите на иранските инструменти за кибершпионаж. Тази многоетапна задна врата е предназначена да проникне дълбоко в компрометирани системи, позволявайки на нападателите да изпълнят набор от злонамерени дейности. От събиране на чувствителна системна информация до изпълнение на команди и манипулиране на файлове, Tickler служи като универсален инструмент за нападателите.
Насочване към критични сектори
Основните цели на тази кампания включват организации в сателитната, комуникационната, правителствената и петролната и газовата промишленост – сектори, които са критични за националната сигурност както на САЩ, така и на ОАЕ. Стратегията на нападателите е ясна: разрушете и съберете информация от сектори, които играят централна роля в инфраструктурите на тези нации.
Постоянната заплаха от прасковената пясъчна буря
Прасковената пясъчна буря демонстрира постоянна и развиваща се заплаха през годините. В края на 2023 г. дейностите на групата се засилиха, като се фокусираха върху служителите в отбранителната промишлена база на САЩ. Техният подход не се ограничава до технически подвизи; те също са използвали социално инженерство, особено чрез LinkedIn, за да съберат разузнавателна информация и да изпълнят престъпните си планове.
Силата на социалното инженерство
LinkedIn се оказа ценен инструмент за тези хакери, позволявайки им да създават убедителни атаки със социално инженерство, които примамват техните цели към фалшиво чувство за сигурност. Чрез манипулиране на доверието в рамките на професионални мрежи, Peach Sandstorm ефективно нарушава защитите, които иначе биха останали сигурни.
Разширяване на техния арсенал
В допълнение към използването на Tickler , групата продължи да използва атаки за пръскане на пароли, техника, насочена към компрометиране на множество акаунти чрез използване на слаби пароли. Наскоро тези атаки бяха наблюдавани в секторите на отбраната, космоса, образованието и правителството в САЩ и Австралия.
Използване на облачна инфраструктура за вредни печалби
Един от най-тревожните аспекти на тази кампания е използването на измамни абонаменти за Azure за командни и контролни операции. Използвайки легитимна облачна инфраструктура, хакерите могат да скрият дейностите си и да направят по-трудно за защитниците откриването и смекчаването на техните атаки.
Координирана кибернетична офанзива
Времето на доклада на Microsoft за Peach Sandstorm е забележително, съвпадайки с доклада Mandiant на Google Cloud за операциите на иранското контраразузнаване и консултация на правителството на САЩ относно кибернетични дейности, спонсорирани от държавата. Това предполага по-широки, координирани усилия от страна на ирански участници да разширят влиянието си в киберпространството и да си сътрудничат с групи за рансъмуер, за да увеличат въздействието си.
Необходимостта от бдителност
Тъй като иранските хакери продължават да развиват своите тактики, наложително е организациите, особено тези в критични сектори, да останат бдителни. Въвеждането на Tickler бележи нова глава в кибершпионажа, подчертавайки необходимостта от стабилни мерки за киберсигурност и международно сътрудничество за борба с тези нарастващи заплахи.
Специалистите и организациите по киберсигурност трябва да изпреварват тези развития, като гарантират, че са подготвени да се защитават срещу все по-сложни атаки от спонсорирани от държавата участници като Peach Sandstorm .