Tickler Malware
Iraani riiklikult toetatud ohustaja on kasutanud äsja väljatöötatud kohandatud tagaust rünnakutes, mis on suunatud Ameerika Ühendriikide ja Araabia Ühendemiraatide organisatsioonidele. Häkkimisrühmitus APT33 , tuntud ka kui Peach Sandstorm ja Refined Kitten, on kasutusele võtnud varem tundmatu pahavara, mida nüüd jälgitakse nime all Tickler, et kahjustada valitsus-, kaitse-, satelliidi-, nafta- ja gaasisektori organisatsioonide võrgustikke. Teadlaste sõnul kasutas see Iraani islami revolutsioonilise kaardiväekorpuse (IRGC) alluvuses olev rühmitus pahavara 2024. aasta aprillist juulini luureandmete kogumise kampaanias. Nende rünnakute ajal kasutasid häkkerid Microsoft Azure'i infrastruktuuri käsu-ja-käskluseks. Juhtige (C2) toiminguid, tuginedes petturlikele Azure'i tellimustele, mida ettevõte on sellest ajast alates häirinud.
Sisukord
Rünnakuoperatsiooni sihtmärgiks olevad olulised sektorid
2024. aasta aprillist maini võttis APT33 sihikule kaitse-, kosmose-, haridus- ja valitsussektori organisatsioonid edukate paroolipihustusrünnakute kaudu. Need rünnakud hõlmasid katset pääseda juurde mitmele kontole, kasutades piiratud komplekti sageli kasutatavaid paroole, et vältida konto lukustamist.
Kuigi paroolide pihustamise aktiivsust täheldati erinevates sektorites, märkisid teadlased, et Peach Sandstorm kasutas oma operatiivse infrastruktuuri loomiseks konkreetselt ära ohustatud kasutajakontosid haridussektoris. Ohutegijad pääsesid juurde olemasolevatele Azure'i tellimustele või lõid uusi, kasutades oma infrastruktuuri majutamiseks ohustatud kontosid. Seda Azure'i infrastruktuuri kasutati seejärel edasistes operatsioonides, mis olid suunatud valitsus-, kaitse- ja kosmosesektorile.
Viimase aasta jooksul on Peach Sandstorm edukalt tunginud mitmetesse nende sektorite organisatsioonidesse, kasutades selleks spetsiaalselt väljatöötatud tööriistu.
Tickleri pahavara loob aluse täiendavatele pahavaraohtudele
Tickler on identifitseeritud kohandatud mitmeastmelise tagauksena, mis võimaldab ründajatel installida ohustatud süsteemidesse täiendavat pahavara. Microsofti sõnul võivad Tickleriga seotud pahatahtlikud koormused koguda süsteemiteavet, täita käske, kustutada faile ning faile Command and Control (C&C) serverisse ja sealt alla laadida või üles laadida.
Eelmised APT33 küberkuritegevuse kampaaniad
Novembris 2023 kasutas Iraani ohurühmitus sarnast taktikat kaitsetöövõtjate võrgustike murdmiseks kogu maailmas, rakendades tagaukse pahavara FalseFont. Paar kuud varem olid teadlased väljastanud hoiatuse järjekordse APT33 kampaania kohta, mis oli alates 2023. aasta veebruarist ulatuslike paroolipihustusrünnakute kaudu sihikule võtnud tuhandeid organisatsioone üle maailma, mille tulemuseks on rikkumisi kaitse-, satelliidi- ja farmaatsiasektoris.
Andmepüügi ja kontokaaperdamise vastase turvalisuse suurendamiseks teatas Microsoft, et alates 15. oktoobrist muutub mitmefaktoriline autentimine (MFA) kohustuslikuks kõikidel Azure'i sisselogimiskatsetel.
Tagaukse pahavara võib ohvritele kaasa tuua tõsiseid tagajärgi
Tagaukse pahavara kujutab endast olulisi riske nii üksikutele kasutajatele kui ka organisatsioonidele, pakkudes volitamata juurdepääsu ohustatud süsteemidele. Pärast installimist loob tagaukse pahavara peidetud sisenemispunktid, mis võimaldavad ründajatel traditsioonilistest turvameetmetest mööda minna ja ohvri võrgu üle kontrolli saada. Selline kõrgendatud juurdepääs võib kaasa tuua hulga raskeid tagajärgi.
Esiteks võimaldab tagaukse pahavara ründajatel koguda tundlikku teavet, sealhulgas isikuandmeid, finantsdokumente ja intellektuaalomandit. Neid kogutud andmeid saab kasutada identiteedivargusteks, finantspettusteks või ettevõtte spionaažiks. Lisaks võib pahavara hõlbustada edasisi ründeid, võimaldades installida täiendavat ründevara, sealhulgas lunavara, mis võib krüpteerida kriitilisi faile ja nõuda nende vabastamise eest lunaraha.
Teiseks võib tagaukse pahavara kahjustada süsteemi terviklikkust ja häirida toiminguid. Ründajad saavad manipuleerida või kustutada olulisi faile, rikkuda süsteemi konfiguratsioone ja keelata turbetööriistad, mis toob kaasa tööseisakuid ja märkimisväärset rahalist kahju. See häire võib olla eriti kahjulik elutähtsatele infrastruktuurisektoritele, nagu tervishoid, rahandus ja energeetika, kus süsteemikatkestused võivad mõjutada avalikku turvalisust ja teenuseid.
Lisaks hõlbustab tagaukse pahavara sageli varjatud jälgimist ja spionaaži. Ründajad saavad jälgida kasutaja tegevust, jäädvustada klahvivajutusi ja pääseda juurde veebikaamera kanalitele ilma ohvri teadmata, mis viib privaatsuse ja konfidentsiaalse teabe rikkumiseni.
Kokkuvõtteks võib öelda, et tagaukse pahavara kujutab endast tõsiseid riske, kahjustades andmete turvalisust, töö terviklikkust ja privaatsust. Selle võime pakkuda püsivat volitamata juurdepääsu muudab selle tugevaks ohuks, mis nõuab tugevaid turvameetmeid ja valvsat jälgimist, et selle mõju leevendada.