Tickler Malware
En iransk statssponsoreret trusselsaktør har brugt en nyudviklet tilpasset bagdør i angreb rettet mod organisationer i USA og De Forenede Arabiske Emirater. Hackinggruppen APT33 , også kendt som Peach Sandstorm og Refined Kitten, har indsat tidligere ukendt malware, nu sporet som Tickler, for at kompromittere netværk af organisationer i regerings-, forsvars-, satellit-, olie- og gassektoren. Ifølge forskere brugte denne gruppe, som opererer under det iranske islamiske revolutionsgardekorps (IRGC), malwaren i en efterretningsindsamlingskampagne mellem april og juli 2024. Under disse angreb brugte hackerne Microsoft Azure-infrastruktur til kommando-og- Kontrol (C2)-operationer baseret på svigagtige Azure-abonnementer, der siden er blevet afbrudt af virksomheden.
Indholdsfortegnelse
Afgørende sektorer målrettet af angrebsoperationen
Mellem april og maj 2024 målrettede APT33 organisationer i forsvars-, rumfarts-, uddannelses- og regeringssektorerne gennem vellykkede password-spray-angreb. Disse angreb involverede forsøg på at få adgang til flere konti ved hjælp af et begrænset sæt almindeligt anvendte adgangskoder for at undgå at udløse kontolåse.
Selvom adgangskodesprayaktiviteten blev observeret på tværs af forskellige sektorer, bemærkede forskere, at Peach Sandstorm specifikt udnyttede kompromitterede brugerkonti i uddannelsessektoren til at etablere deres operationelle infrastruktur. Trusselsaktørerne fik enten adgang til eksisterende Azure-abonnementer eller oprettede nye ved at bruge de kompromitterede konti til at hoste deres infrastruktur. Denne Azure-infrastruktur blev derefter brugt i yderligere operationer rettet mod regeringen, forsvaret og rumfartssektoren.
I løbet af det seneste år har Peach Sandstorm med succes infiltreret flere organisationer inden for disse sektorer ved at bruge specialudviklede værktøjer.
Tickler Malware sætter scenen for yderligere malware-trusler
Tickler er identificeret som en brugerdefineret, flertrins bagdør, der gør det muligt for angribere at installere yderligere malware på kompromitterede systemer. Ifølge Microsoft kan de ondsindede nyttelaster knyttet til Tickler indsamle systemoplysninger, udføre kommandoer, slette filer og downloade eller uploade filer til og fra en Command and Control (C&C) server.
Tidligere APT33 cyberkriminalitetskampagner
I november 2023 brugte den iranske trusselsgruppe en lignende taktik for at bryde netværket af forsvarsentreprenører globalt ved at implementere FalseFont-bagdørs-malwaren. Et par måneder tidligere havde forskere udsendt en advarsel om en anden APT33-kampagne, der havde været rettet mod tusindvis af organisationer verden over gennem omfattende adgangskodesprayangreb siden februar 2023, hvilket resulterede i brud inden for forsvars-, satellit- og medicinalsektoren.
For at forbedre sikkerheden mod phishing og kontokapring meddelte Microsoft, at fra den 15. oktober ville multifaktorgodkendelse (MFA) blive obligatorisk for alle Azure-loginforsøg.
En bagdørs-malware kan føre til alvorlige konsekvenser for ofrene
En bagdørs malware udgør betydelige risici for både individuelle brugere og organisationer ved at give uautoriseret adgang til kompromitterede systemer. Når den er installeret, skaber bagdørs-malware skjulte indgangspunkter, der gør det muligt for angribere at omgå traditionelle sikkerhedsforanstaltninger og få kontrol over et offers netværk. Denne høje adgang kan føre til en række alvorlige konsekvenser.
For det første gør bagdør-malware angribere i stand til at høste følsomme oplysninger, herunder personlige data, økonomiske optegnelser og intellektuel ejendom. Disse indsamlede data kan bruges til identitetstyveri, økonomisk bedrageri eller virksomhedsspionage. Derudover kan malwaren lette yderligere angreb ved at muliggøre installationen af yderligere ondsindet software, inklusive ransomware, som kan kryptere kritiske filer og kræve en løsesum for deres frigivelse.
For det andet kan bagdør-malware kompromittere systemets integritet og forstyrre driften. Angribere kan manipulere eller slette vigtige filer, manipulere med systemkonfigurationer og deaktivere sikkerhedsværktøjer, hvilket fører til driftsnedetid og betydelige økonomiske tab. Denne afbrydelse kan være særlig skadelig for kritiske infrastruktursektorer, såsom sundhedspleje, finans og energi, hvor systemafbrydelser kan påvirke den offentlige sikkerhed og tjenester.
Desuden letter bagdør malware ofte hemmelig overvågning og spionage. Angribere kan overvåge brugeraktiviteter, fange tastetryk og få adgang til webcam-feeds uden ofrets viden, hvilket fører til brud på privatlivets fred og fortrolige oplysninger.
Sammenfattende udgør en bagdørs-malware alvorlige risici ved at underminere datasikkerhed, operationel integritet og privatliv. Dens evne til at give vedvarende, uautoriseret adgang gør det til en potent trussel, der kræver robuste sikkerhedsforanstaltninger og årvågen overvågning for at afbøde dens påvirkning.