Programari maliciós Tickler
Un actor d'amenaces patrocinat per l'estat iranià ha fet servir una porta posterior personalitzada recentment desenvolupada en atacs dirigits a organitzacions dels Estats Units i dels Emirats Àrabs Units. El grup de pirateria informàtica APT33 , també conegut com a Peach Sandstorm i Refined Kitten, ha desplegat programari maliciós desconegut anteriorment, ara rastrejat com a Tickler, per comprometre les xarxes d'organitzacions dels sectors governamental, defensa, satèl·lit, petroli i gas. Segons els investigadors, aquest grup, que opera sota el Cos de la Guàrdia Revolucionària Islàmica Iraniana (IRGC), va utilitzar el programari maliciós en una campanya de recollida d'intel·ligència entre abril i juliol de 2024. Durant aquests atacs, els pirates informàtics van utilitzar la infraestructura de Microsoft Azure per a Command-and- Operacions de control (C2), basant-se en subscripcions d'Azure fraudulentes que des de llavors han estat interrompides per l'empresa.
Taula de continguts
Sectors crucials objectiu de l’operació d’atac
Entre l'abril i el maig del 2024, APT33 es va dirigir a organitzacions dels sectors de la defensa, l'espai, l'educació i el govern mitjançant atacs de contrasenya amb èxit. Aquests atacs van implicar intentar accedir a diversos comptes mitjançant un conjunt limitat de contrasenyes que s'utilitzen habitualment per evitar activar el bloqueig del compte.
Tot i que l'activitat de polvorització de contrasenyes es va observar en diversos sectors, els investigadors van assenyalar que Peach Sandstorm va explotar específicament comptes d'usuari compromesos al sector educatiu per establir la seva infraestructura operativa. Els actors de l'amenaça van accedir a les subscripcions d'Azure existents o en van crear de noves utilitzant els comptes compromesos per allotjar la seva infraestructura. Aquesta infraestructura Azure es va utilitzar després en operacions posteriors dirigides als sectors governamental, de defensa i espacial.
Durant l'últim any, Peach Sandstorm s'ha infiltrat amb èxit en diverses organitzacions d'aquests sectors mitjançant eines desenvolupades a mida.
El programari maliciós Tickler prepara l’escenari per a amenaces addicionals de programari maliciós
Tickler s'identifica com una porta posterior personalitzada i en diverses etapes que permet als atacants instal·lar programari maliciós addicional en sistemes compromesos. Segons Microsoft, les càrregues útils malicioses vinculades a Tickler poden recopilar informació del sistema, executar ordres, suprimir fitxers i descarregar o carregar fitxers a i des d'un servidor de comandaments i control (C&C).
Campanyes de cibercrim APT33 anteriors
El novembre de 2023, el grup d'amenaça iranià va utilitzar una tàctica similar per trencar les xarxes de contractistes de defensa a nivell mundial, desplegant el programari maliciós de la porta posterior FalseFont. Un parell de mesos abans, els investigadors havien emès un avís sobre una altra campanya APT33 que s'havia dirigit a milers d'organitzacions a tot el món a través d'atacs extensos de polvorització de contrasenyes des del febrer de 2023, provocant incompliments en els sectors de defensa, satèl·lit i farmacèutic.
Per millorar la seguretat contra la pesca i el segrest de comptes, Microsoft va anunciar que a partir del 15 d'octubre, l'autenticació multifactor (MFA) seria obligatòria per a tots els intents d'inici de sessió d'Azure.
Un programari maliciós de porta posterior pot tenir conseqüències greus per a les víctimes
Un programari maliciós de porta posterior comporta riscos importants tant per als usuaris individuals com per a les organitzacions, ja que ofereix accés no autoritzat a sistemes compromesos. Un cop instal·lat, el programari maliciós de la porta posterior crea punts d'entrada ocults que permeten als atacants evitar les mesures de seguretat tradicionals i obtenir el control de la xarxa de la víctima. Aquest accés elevat pot comportar una sèrie de conseqüències greus.
En primer lloc, el programari maliciós de porta posterior permet als atacants recollir informació sensible, incloses dades personals, registres financers i propietat intel·lectual. Aquestes dades recollides es poden utilitzar per robar identitat, frau financer o espionatge corporatiu. A més, el programari maliciós pot facilitar més atacs permetent la instal·lació de programari maliciós addicional, inclòs el ransomware, que pot xifrar fitxers crítics i demanar un rescat per alliberar-los.
En segon lloc, el programari maliciós de la porta posterior pot comprometre la integritat del sistema i interrompre les operacions. Els atacants poden manipular o suprimir fitxers importants, manipular les configuracions del sistema i desactivar les eines de seguretat, provocant temps d'inactivitat i pèrdues financeres importants. Aquesta interrupció pot ser especialment perjudicial per als sectors d'infraestructures crítiques, com ara la sanitat, les finances i l'energia, on les interrupcions del sistema poden afectar la seguretat i els serveis públics.
A més, el programari maliciós de la porta posterior facilita sovint la vigilància i l'espionatge encoberts. Els atacants poden controlar les activitats de l'usuari, capturar les pulsacions de tecla i accedir a fonts de càmeres web sense que la víctima ho sàpiga, provocant violacions de la privadesa i la informació confidencial.
En resum, un programari maliciós de porta posterior presenta seriosos riscos ja que soscava la seguretat de les dades, la integritat operativa i la privadesa. La seva capacitat de proporcionar un accés persistent i no autoritzat el converteix en una amenaça potent que requereix mesures de seguretat sòlides i un seguiment atent per mitigar el seu impacte.