Зловреден софтуер Tickler
Спонсориран от държавата заплаха от Иран използва новоразработен персонализиран заден ход в атаки, насочени към организации в Съединените щати и Обединените арабски емирства. Хакерската група APT33 , известна още като Peach Sandstorm и Refined Kitten, е внедрила неизвестен досега злонамерен софтуер, който сега се проследява като Tickler, за да компрометира мрежи от организации в правителствения, отбранителния, сателитния, петролния и газовия сектор. Според изследователите тази група, която действа под иранския Корпус на гвардейците на ислямската революция (IRGC), е използвала зловреден софтуер в кампания за събиране на разузнавателна информация между април и юли 2024 г. По време на тези атаки хакерите са използвали инфраструктурата на Microsoft Azure за Command-and- Контролни (C2) операции, разчитащи на измамни абонаменти за Azure, които оттогава са прекъснати от компанията.
Съдържание
Важни сектори, насочени към операцията за атака
Между април и май 2024 г. APT33 се насочи към организации в сектора на отбраната, космоса, образованието и правителството чрез успешни атаки със спрей за пароли. Тези атаки включваха опит за достъп до множество акаунти с помощта на ограничен набор от често използвани пароли, за да се избегне задействането на блокиране на акаунти.
Въпреки че дейността по разпръскване на пароли е наблюдавана в различни сектори, изследователите отбелязват, че Peach Sandstorm специално е използвала компрометирани потребителски акаунти в образователния сектор, за да установи тяхната оперативна инфраструктура. Актьорите на заплахите или са имали достъп до съществуващи абонаменти на Azure, или са създали нови, използвайки компрометираните акаунти, за да хостват своята инфраструктура. След това тази инфраструктура на Azure беше използвана в по-нататъшни операции, насочени към правителствения, отбранителния и космическия сектор.
През изминалата година Peach Sandstorm успешно проникна в няколко организации в тези сектори, използвайки специално разработени инструменти.
Злонамереният софтуер Tickler поставя началото на допълнителни заплахи от зловреден софтуер
Tickler се идентифицира като персонализирана, многоетапна задна врата, която позволява на нападателите да инсталират допълнителен зловреден софтуер на компрометирани системи. Според Microsoft злонамерените полезни товари, свързани с Tickler, могат да събират системна информация, да изпълняват команди, да изтриват файлове и да изтеглят или качват файлове към и от сървър за командване и контрол (C&C).
Предишни APT33 кампании за киберпрестъпления
През ноември 2023 г. иранската група за заплахи използва подобна тактика, за да пробие мрежите на изпълнители на отбраната в световен мащаб, внедрявайки злонамерения софтуер за задната врата FalseFont. Няколко месеца по-рано изследователите издадоха предупреждение за друга кампания APT33, която беше насочена към хиляди организации по целия свят чрез обширни атаки с парола от февруари 2023 г., което доведе до пробиви в отбранителния, сателитния и фармацевтичния сектор.
За да подобри сигурността срещу фишинг и отвличане на акаунти, Microsoft обяви, че от 15 октомври многофакторното удостоверяване (MFA) ще стане задължително за всички опити за влизане в Azure.
Зловреден софтуер със задна вратичка може да доведе до тежки последици за жертвите
Злонамереният софтуер със задна врата създава значителни рискове както за отделните потребители, така и за организациите, като предоставя неоторизиран достъп до компрометирани системи. Веднъж инсталиран, зловреден софтуер със задна врата създава скрити входни точки, които позволяват на нападателите да заобиколят традиционните мерки за сигурност и да получат контрол над мрежата на жертвата. Този повишен достъп може да доведе до редица тежки последствия.
Първо, зловреден софтуер със задна врата позволява на нападателите да събират чувствителна информация, включително лични данни, финансови записи и интелектуална собственост. Тези събрани данни могат да се използват за кражба на самоличност, финансови измами или корпоративен шпионаж. Освен това злонамереният софтуер може да улесни допълнителни атаки, като позволи инсталирането на допълнителен злонамерен софтуер, включително рансъмуер, който може да криптира критични файлове и да изисква откуп за освобождаването им.
Второ, зловреден софтуер със задна врата може да компрометира целостта на системата и да наруши операциите. Нападателите могат да манипулират или изтрият важни файлове, да променят системните конфигурации и да деактивират инструментите за сигурност, което води до прекъсване на работата и значителни финансови загуби. Това прекъсване може да бъде особено вредно за критични инфраструктурни сектори, като здравеопазване, финанси и енергетика, където прекъсванията на системата могат да повлияят на обществената безопасност и услугите.
Освен това злонамереният софтуер със задни вратички често улеснява скритото наблюдение и шпионаж. Нападателите могат да наблюдават действията на потребителите, да улавят натискания на клавиши и да имат достъп до емисиите на уеб камерата без знанието на жертвата, което води до нарушаване на поверителността и поверителна информация.
В обобщение, зловреден софтуер със задна вратичка представлява сериозни рискове, като подкопава сигурността на данните, оперативната цялост и поверителността. Способността му да предоставя постоянен, неоторизиран достъп го прави мощна заплаха, която изисква стабилни мерки за сигурност и бдително наблюдение, за да смекчи въздействието си.