Tickler Malware

שחקן איומים בחסות מדינה איראנית השתמש בדלת אחורית מותאמת אישית חדשה שפותחה בהתקפות על ארגונים בארצות הברית ובאיחוד האמירויות הערביות. קבוצת הפריצה APT33 , הידועה גם בשם Peach Sandstorm ו-Refined Kitten, פרסה תוכנות זדוניות שלא היו ידועות בעבר, כעת במעקב כ-Tickler, כדי לסכן רשתות של ארגונים במגזרי הממשלה, הביטחון, הלוויין, הנפט והגז. לדברי חוקרים, קבוצה זו, הפועלת תחת משמרות המהפכה האסלאמית האיראנית (IRGC), השתמשה בתוכנה הזדונית בקמפיין לאיסוף מודיעין בין אפריל ליולי 2024. במהלך התקפות אלו, ההאקרים השתמשו בתשתית Microsoft Azure עבור פיקוד-ו- פעולות בקרה (C2), תוך הסתמכות על מנויי Azure הונאה שמאז הופסקו על ידי החברה.

מגזרים מכריעים הממוקדים במבצע ההתקפה

בין אפריל למאי 2024, APT33 כיוון לארגונים במגזרי הביטחון, החלל, החינוך והממשל באמצעות התקפות מוצלחות של ריסוס סיסמאות. התקפות אלו כללו ניסיון לגשת לחשבונות מרובים באמצעות קבוצה מוגבלת של סיסמאות נפוצות כדי להימנע מהפעלת נעילת חשבונות.

למרות שפעילות ריסוס הסיסמאות נצפתה במגזרים שונים, החוקרים ציינו כי Peach Sandstorm ניצלה במיוחד חשבונות משתמשים שנפגעו במגזר החינוך כדי לבסס את התשתית התפעולית שלהם. גורמי האיום ניגשו למנויי Azure קיימים או יצרו חדשים באמצעות החשבונות שנפרצו כדי לארח את התשתית שלהם. תשתית Azure זו שימשה לאחר מכן בפעולות נוספות המכוונות למגזרי הממשלה, הביטחון והחלל.

במהלך השנה האחרונה, Peach Sandstorm חדרה בהצלחה למספר ארגונים בתוך המגזרים הללו על ידי שימוש בכלים שפותחו בהתאמה אישית.

תוכנה זדונית של Tickler קובעת את השלב לאיומי תוכנה זדונית נוספים

Tickler מזוהה כדלת אחורית מותאמת, רב-שלבית, המאפשרת לתוקפים להתקין תוכנות זדוניות נוספות במערכות שנפרצות. לפי מיקרוסופט, המטענים הזדוניים המקושרים ל-Tickler יכולים לאסוף מידע מערכת, לבצע פקודות, למחוק קבצים ולהוריד או להעלות קבצים אל וממנו שרת Command and Control (C&C).

מסעות פרסום קודמים של APT33 לפשעי סייבר

בנובמבר 2023, קבוצת האיומים האיראנית השתמשה בטקטיקה דומה כדי לפרוץ את הרשתות של קבלני הגנה ברחבי העולם, תוך פריסת התוכנה הזדונית FalseFont בדלת האחורית. כמה חודשים קודם לכן, חוקרים פרסמו אזהרה על קמפיין APT33 אחר שכוון לאלפי ארגונים ברחבי העולם באמצעות התקפות נרחבות של ריסוס סיסמאות מאז פברואר 2023, וכתוצאה מכך הפרות במגזר ההגנה, הלוויין והתרופות.

כדי לשפר את האבטחה מפני דיוג וחטיפת חשבון, מיקרוסופט הודיעה כי החל מה-15 באוקטובר, אימות רב-גורמי (MFA) יהפוך לחובה עבור כל ניסיונות הכניסה של Azure.

תוכנה זדונית בדלת אחורית עלולה להוביל לתוצאות חמורות עבור הקורבנות

תוכנה זדונית בדלת אחורית מהווה סיכונים משמעותיים הן למשתמשים בודדים והן לארגונים על ידי מתן גישה לא מורשית למערכות שנפגעו. לאחר ההתקנה, תוכנה זדונית בדלת אחורית יוצרת נקודות כניסה נסתרות המאפשרות לתוקפים לעקוף את אמצעי האבטחה המסורתיים ולהשיג שליטה על הרשת של הקורבן. גישה מוגברת זו עלולה להוביל למגוון של השלכות חמורות.

ראשית, תוכנות זדוניות בדלת אחורית מאפשרת לתוקפים לאסוף מידע רגיש, כולל נתונים אישיים, רשומות פיננסיות וקניין רוחני. הנתונים שנאספו יכולים לשמש לגניבת זהות, הונאה פיננסית או ריגול תאגידי. בנוסף, התוכנה הזדונית יכולה להקל על התקפות נוספות על ידי הפעלת התקנה של תוכנות זדוניות נוספות, כולל תוכנות כופר, שיכולות להצפין קבצים קריטיים ולדרוש כופר עבור שחרורם.

שנית, תוכנה זדונית בדלת אחורית יכולה לסכן את שלמות המערכת ולשבש פעולות. תוקפים יכולים לתמרן או למחוק קבצים חשובים, לחבל בתצורות המערכת ולהשבית כלי אבטחה, מה שיוביל להשבתה תפעולית ולהפסדים כספיים משמעותיים. שיבוש זה יכול להזיק במיוחד למגזרי תשתית קריטיים, כגון שירותי בריאות, פיננסים ואנרגיה, שבהם הפסקות מערכת עלולות להשפיע על בטיחות הציבור והשירותים.

יתרה מכך, תוכנות זדוניות בדלת אחורית מקלה לעתים קרובות על מעקב וריגול סמוי. תוקפים יכולים לנטר את פעילויות המשתמש, ללכוד הקשות ולגשת לעדכוני מצלמת אינטרנט ללא ידיעת הקורבן, מה שמוביל להפרות של פרטיות ומידע סודי.

לסיכום, תוכנה זדונית בדלת אחורית מהווה סיכונים רציניים על ידי פגיעה באבטחת הנתונים, שלמות התפעול והפרטיות. היכולת שלו לספק גישה מתמשכת ובלתי מורשית הופכת אותו לאיום חזק הדורש אמצעי אבטחה חזקים וניטור ערני כדי למתן את השפעתו.

מגמות

הכי נצפה

טוען...