Tickler Malware
Íránský státem podporovaný aktér hrozby používá nově vyvinutá vlastní zadní vrátka při útocích na organizace ve Spojených státech a Spojených arabských emirátech. Hackerská skupina APT33 , známá také jako Peach Sandstorm a Refined Kitten, nasadila dříve neznámý malware, nyní sledovaný jako Tickler, aby kompromitovala sítě organizací ve vládním, obranném, satelitním, ropném a plynárenském sektoru. Podle výzkumníků tato skupina, která působí pod íránskými islámskými revolučními gardami (IRGC), použila malware ve zpravodajské kampani mezi dubnem a červencem 2024. Během těchto útoků hackeři využili infrastrukturu Microsoft Azure pro Command-and- Řízení (C2) operací, které se spoléhá na podvodná předplatná Azure, která byla od té doby společností narušena.
Obsah
Zásadní sektory, na které se operace zaměří
Mezi dubnem a květnem 2024 se APT33 zaměřoval na organizace v obranném, kosmickém, vzdělávacím a vládním sektoru prostřednictvím úspěšných útoků sprejem hesel. Tyto útoky zahrnovaly pokus o přístup k více účtům pomocí omezené sady běžně používaných hesel, aby nedošlo ke spuštění uzamčení účtů.
Přestože aktivita sprejování hesel byla pozorována v různých sektorech, výzkumníci poznamenali, že Peach Sandstorm konkrétně zneužila kompromitované uživatelské účty ve vzdělávacím sektoru k vytvoření své provozní infrastruktury. Aktéři hrozeb buď přistupovali ke stávajícím předplatným Azure, nebo vytvořili nová pomocí napadených účtů k hostování své infrastruktury. Tato infrastruktura Azure pak byla použita v dalších operacích zaměřených na vládní, obranný a vesmírný sektor.
Během posledního roku Peach Sandstorm úspěšně infiltroval několik organizací v těchto sektorech pomocí na míru vyvinutých nástrojů.
Tickler Malware připravuje půdu pro další malwarové hrozby
Tickler je identifikován jako vlastní, vícestupňová zadní vrátka, která útočníkům umožňuje instalovat další malware na kompromitované systémy. Podle Microsoftu mohou škodlivé datové soubory spojené s Ticklerem shromažďovat systémové informace, spouštět příkazy, mazat soubory a stahovat nebo nahrávat soubory na a ze serveru Command and Control (C&C).
Předchozí kampaně proti počítačové kriminalitě APT33
V listopadu 2023 použila íránská skupina pro hrozby podobnou taktiku k narušení sítí dodavatelů obrany po celém světě a nasadila malware FalseFont backdoor. Před několika měsíci výzkumníci vydali varování před další kampaní APT33, která se od února 2023 zaměřovala na tisíce organizací po celém světě prostřednictvím rozsáhlých útoků sprejem hesel, což mělo za následek porušení v obranném, satelitním a farmaceutickém sektoru.
Aby se zlepšilo zabezpečení proti phishingu a odcizení účtů, Microsoft oznámil, že od 15. října bude vícefaktorové ověřování (MFA) povinné pro všechny pokusy o přihlášení k Azure.
Backdoor malware může mít pro oběti vážné následky
Malware typu backdoor představuje značné riziko pro jednotlivé uživatele i organizace tím, že poskytuje neoprávněný přístup k ohroženým systémům. Po instalaci vytváří malware backdoor skryté vstupní body, které útočníkům umožňují obejít tradiční bezpečnostní opatření a získat kontrolu nad sítí oběti. Tento zvýšený přístup může vést k řadě vážných následků.
Za prvé, malware typu backdoor umožňuje útočníkům získávat citlivé informace, včetně osobních údajů, finančních záznamů a duševního vlastnictví. Tato shromážděná data mohou být použita pro krádež identity, finanční podvody nebo firemní špionáž. Malware navíc může usnadnit další útoky tím, že umožní instalaci dalšího škodlivého softwaru, včetně ransomwaru, který dokáže zašifrovat důležité soubory a požadovat výkupné za jejich vydání.
Za druhé, malware typu backdoor může ohrozit integritu systému a narušit operace. Útočníci mohou manipulovat nebo mazat důležité soubory, manipulovat s konfiguracemi systému a deaktivovat bezpečnostní nástroje, což vede k provozním výpadkům a značným finančním ztrátám. Toto narušení může být zvláště škodlivé pro sektory kritické infrastruktury, jako je zdravotnictví, finance a energetika, kde výpadky systému mohou ovlivnit veřejnou bezpečnost a služby.
Malware typu backdoor navíc často usnadňuje skryté sledování a špionáž. Útočníci mohou monitorovat aktivity uživatelů, zachycovat stisknuté klávesy a přistupovat k webovým kamerám bez vědomí oběti, což vede k narušení soukromí a důvěrných informací.
Stručně řečeno, malware typu backdoor představuje vážná rizika tím, že podkopává zabezpečení dat, provozní integritu a soukromí. Jeho schopnost poskytovat trvalý, neoprávněný přístup z něj činí silnou hrozbu, která vyžaduje robustní bezpečnostní opatření a ostražité monitorování, aby se zmírnil její dopad.