Tickler Malware
Iranin valtion tukema uhkatoimija on käyttänyt äskettäin kehitettyä mukautettua takaovea hyökkäyksissä, jotka kohdistuvat organisaatioihin Yhdysvalloissa ja Yhdistyneissä arabiemiirikunnissa. Hakkerointiryhmä APT33 , joka tunnetaan myös nimellä Peach Sandstorm ja Refined Kitten, on ottanut käyttöön aiemmin tuntemattomia haittaohjelmia, joita nyt jäljitetään nimellä Tickler, vaarantaakseen organisaatioiden verkostot hallituksen, puolustus-, satelliitti-, öljy- ja kaasusektorilla. Tutkijoiden mukaan tämä Iranin Islamic Revolutionary Guard Corpsin (IRGC) alaisuudessa toimiva ryhmä käytti haittaohjelmaa tiedustelukampanjassa huhti-heinäkuun 2024 välisenä aikana. Näiden hyökkäysten aikana hakkerit käyttivät Microsoft Azure -infrastruktuuria Command-and- Ohjaa (C2) toimintoja, jotka perustuvat vilpillisiin Azure-tilauksiin, jotka yritys on sittemmin häirinnyt.
Sisällysluettelo
Hyökkäysoperaation kohteena olevat keskeiset alat
Huhti-toukokuussa 2024 APT33 kohdistui puolustus-, avaruus-, koulutus- ja hallintosektorin organisaatioihin onnistuneilla salasanasumutushyökkäyksillä. Näissä hyökkäyksissä yritettiin päästä useille tileille rajoitetulla joukolla yleisesti käytettyjä salasanoja tilin sulkemisen välttämiseksi.
Vaikka salasanojen levittämistä havaittiin eri sektoreilla, tutkijat havaitsivat, että Peach Sandstorm käytti erityisesti hyväkseen vaarantuneita käyttäjätilejä koulutussektorilla perustaakseen toiminnallisen infrastruktuurinsa. Uhkatoimijat joko käyttivät olemassa olevia Azure-tilauksia tai loivat uusia käyttämällä vaarantuneita tilejä infrastruktuurinsa isännöimiseksi. Tätä Azure-infrastruktuuria käytettiin myöhemmin hallinnolle, puolustus- ja avaruussektorille kohdistetuissa toimissa.
Viime vuoden aikana Peach Sandstorm on soluttautunut useisiin näiden alojen organisaatioihin räätälöityjen työkalujen avulla.
Tickler-haittaohjelmat luovat alustan lisähaittaohjelmauhkille
Tickler tunnistetaan mukautetuksi, monivaiheiseksi takaoveksi, jonka avulla hyökkääjät voivat asentaa lisää haittaohjelmia vaarantuneisiin järjestelmiin. Microsoftin mukaan Tickleriin linkitetyt haitalliset hyötykuormat voivat kerätä järjestelmätietoja, suorittaa komentoja, poistaa tiedostoja ja ladata tai lähettää tiedostoja Command and Control (C&C) -palvelimelle ja sieltä.
Aiemmat APT33-verkkorikollisuuskampanjat
Marraskuussa 2023 Iranin uhkaryhmä käytti samanlaista taktiikkaa murtautuakseen puolustusalan alihankkijoiden verkostoihin maailmanlaajuisesti ja otti käyttöön FalseFont-takaovihaittaohjelman. Pari kuukautta aiemmin tutkijat olivat varoittaneet toisesta APT33-kampanjasta, joka oli kohdistunut tuhansiin organisaatioihin ympäri maailmaa laajojen salasanojen ruiskutushyökkäyksillä helmikuusta 2023 lähtien, mikä on johtanut rikkomuksiin puolustus-, satelliitti- ja lääkesektoreilla.
Tietojenkalastelun ja tilin kaappauksen estämiseksi Microsoft ilmoitti, että 15. lokakuuta alkaen monitekijätodennus (MFA) tulee pakolliseksi kaikissa Azure-kirjautumisyrityksissä.
Takaoven haittaohjelma voi aiheuttaa vakavia seurauksia uhreille
Takaoven haittaohjelma aiheuttaa merkittäviä riskejä sekä yksittäisille käyttäjille että organisaatioille tarjoamalla luvattoman pääsyn vaarantuneisiin järjestelmiin. Kun takaoven haittaohjelma on asennettu, se luo piilotettuja sisääntulokohtia, joiden avulla hyökkääjät voivat ohittaa perinteiset suojaustoimenpiteet ja saada uhrin verkon hallintaansa. Tämä korkeampi pääsy voi johtaa useisiin vakaviin seurauksiin.
Ensinnäkin takaoven haittaohjelmat antavat hyökkääjille mahdollisuuden kerätä arkaluonteisia tietoja, kuten henkilötietoja, taloustietoja ja immateriaalioikeuksia. Näitä kerättyjä tietoja voidaan käyttää identiteettivarkauksiin, talouspetokseen tai yritysvakoiluun. Lisäksi haittaohjelma voi helpottaa lisähyökkäyksiä mahdollistamalla lisähaittaohjelmien, mukaan lukien kiristysohjelmien, asennuksen, jotka voivat salata tärkeitä tiedostoja ja vaatia lunnaita niiden julkaisemisesta.
Toiseksi takaoven haittaohjelmat voivat vaarantaa järjestelmän eheyden ja häiritä toimintaa. Hyökkääjät voivat käsitellä tai poistaa tärkeitä tiedostoja, peukaloida järjestelmän määrityksiä ja poistaa suojaustyökalut käytöstä, mikä johtaa käyttökatkoihin ja merkittäviin taloudellisiin menetyksiin. Tämä häiriö voi olla erityisen vahingollinen kriittisille infrastruktuurialoille, kuten terveydenhuoltoon, rahoitukseen ja energiaan, joilla järjestelmäkatkot voivat vaikuttaa yleiseen turvallisuuteen ja palveluihin.
Lisäksi takaoven haittaohjelmat helpottavat usein peiteltyä valvontaa ja vakoilua. Hyökkääjät voivat seurata käyttäjien toimintaa, kaapata näppäinpainalluksia ja käyttää verkkokameran syötteitä uhrin tietämättä, mikä johtaa yksityisyyden ja luottamuksellisten tietojen rikkomiseen.
Yhteenvetona voidaan todeta, että takaoven haittaohjelmat aiheuttavat vakavia riskejä heikentämällä tietoturvaa, toiminnan eheyttä ja yksityisyyttä. Sen kyky tarjota jatkuvaa, luvatonta pääsyä tekee siitä voimakkaan uhan, joka vaatii vankkoja turvatoimia ja tarkkaa valvontaa vaikutusten lieventämiseksi.