Íránští hackeři nasazují Tickler malware při vysokých kybernetických útocích

V souvislosti s vývojem globální kybernetické bezpečnosti zavedli íránští státem sponzorovaní hackeři nový vlastní malware, nazvaný Tickler , který má infiltrovat a shromažďovat informace o kritické infrastruktuře ve Spojených státech a Spojených arabských emirátech. Skupina stojící za touto sofistikovanou kampaní, sledovanou Microsoftem jako Peach Sandstorm – známá také pod různými jinými přezdívkami jako APT33 , Elfin a Refined Kitten – byla neúnavná ve snaze získat cenná data z cílových sektorů.

Nová hrozba v kybernetické aréně

Tickler není jen další malware; představuje významný skok ve schopnostech íránských nástrojů kybernetické špionáže. Tato vícestupňová zadní vrátka jsou navržena tak, aby se zavrtala hluboko do kompromitovaných systémů a umožnila útočníkům provádět řadu škodlivých činností. Od shromažďování citlivých systémových informací až po provádění příkazů a manipulaci se soubory, Tickler slouží jako všestranný nástroj pro útočníky.

Cílení na kritické sektory

Mezi primární cíle této kampaně patří organizace v rámci satelitního, komunikačního, vládního a ropného a plynárenského průmyslu – odvětví, která jsou kritická pro národní bezpečnost USA i Spojených arabských emirátů. Strategie útočníků je jasná: narušovat a shromažďovat informace ze sektorů, které hrají klíčovou roli v infrastrukturách těchto zemí.

Trvalá hrozba broskvové písečné bouře

Peach Sandstorm prokázala trvalou a vyvíjející se hrozbu v průběhu let. Koncem roku 2023 se aktivity skupiny rozběhly a zaměřily se na zaměstnance v rámci americké obranné průmyslové základny. Jejich přístup není omezen na technické využití; také využili sociální inženýrství, zejména prostřednictvím LinkedIn, aby shromáždili informace a provedli své hanebné plány.

Síla sociálního inženýrství

LinkedIn se pro tyto hackery ukázal jako cenný nástroj, který jim umožňuje vytvářet přesvědčivé útoky sociálního inženýrství, které lákají jejich cíle k falešnému pocitu bezpečí. Manipulací důvěry v rámci profesionálních sítí Peach Sandstorm účinně prolomí obranu, která by jinak zůstala bezpečná.

Rozšíření jejich arzenálu

Kromě používání Tickler skupina pokračovala v používání útoků sprejem hesel, což je technika zaměřená na kompromitování více účtů zneužíváním slabých hesel. Nedávno byly tyto útoky pozorovány v obranném, kosmickém, vzdělávacím a vládním sektoru v USA a Austrálii.

Využití cloudové infrastruktury pro škodlivé zisky

Jedním z nejvíce alarmujících aspektů této kampaně je používání podvodných předplatných Azure pro operace příkazů a řízení. Využitím legitimní cloudové infrastruktury mohou hackeři skrýt své aktivity a ztížit obráncům detekci a zmírnění jejich útoků.

Koordinovaná kybernetická ofenzíva

Načasování zprávy Microsoftu o Peach Sandstorm je pozoruhodné a shoduje se se zprávou Mandiant společnosti Google Cloud o operacích íránských kontrarozvědek a doporučením vlády USA ohledně kybernetických aktivit sponzorovaných íránským státem. To naznačuje širší, koordinované úsilí íránských aktérů o rozšíření jejich kybernetického vlivu a spolupráci se skupinami ransomwaru za účelem zesílení jejich dopadu.

Potřeba bdělosti

Vzhledem k tomu, že íránští hackeři pokračují ve vývoji své taktiky, je nezbytné, aby organizace, zejména ty v kritických sektorech, zůstaly ostražité. Zavedení Tickleru představuje novou kapitolu v kybernetické špionáži, která zdůrazňuje potřebu robustních opatření v oblasti kybernetické bezpečnosti a mezinárodní spolupráce v boji proti těmto rostoucím hrozbám.

Profesionálové a organizace v oblasti kybernetické bezpečnosti musí zůstat před tímto vývojem a zajistit, aby byli připraveni bránit se stále sofistikovanějším útokům ze strany státem podporovaných aktérů, jako je Peach Sandstorm .