Tickler Malware
Iranski akter prijetnji sponzoriran od države koristi novorazvijena prilagođena stražnja vrata u napadima usmjerenim na organizacije u Sjedinjenim Državama i Ujedinjenim Arapskim Emiratima. Hakerska skupina APT33 , također poznata kao Peach Sandstorm i Refined Kitten, postavila je prethodno nepoznati zlonamjerni softver, koji se sada prati kao Tickler, kako bi ugrozio mreže organizacija u državnom, obrambenom, satelitskom, naftnom i plinskom sektoru. Prema istraživačima, ova skupina, koja djeluje pod iranskom Korpusom čuvara islamske revolucije (IRGC), koristila je zlonamjerni softver u kampanji prikupljanja obavještajnih podataka između travnja i srpnja 2024. Tijekom ovih napada, hakeri su koristili Microsoft Azure infrastrukturu za Command-and- Kontrola (C2) operacija, oslanjajući se na lažne pretplate na Azure koje je tvrtka u međuvremenu poremetila.
Sadržaj
Ključni sektori ciljani operacijom napada
Između travnja i svibnja 2024., APT33 je ciljao na organizacije u obrambenom, svemirskom, obrazovnom i vladinom sektoru putem uspješnih napada lozinkom. Ti su napadi uključivali pokušaj pristupa većem broju računa korištenjem ograničenog skupa često korištenih lozinki kako bi se izbjeglo pokretanje zaključavanja računa.
Iako je aktivnost raspršivanja lozinki primijećena u raznim sektorima, istraživači su primijetili da je Peach Sandstorm posebno iskorištavao kompromitirane korisničke račune u obrazovnom sektoru kako bi uspostavio svoju operativnu infrastrukturu. Akteri prijetnji ili su pristupili postojećim pretplatama na Azure ili su stvorili nove koristeći kompromitirane račune za smještaj svoje infrastrukture. Ova Azure infrastruktura zatim je korištena u daljnjim operacijama usmjerenim na sektor vlade, obrane i svemira.
Tijekom prošle godine, Peach Sandstorm se uspješno infiltrirao u nekoliko organizacija unutar ovih sektora koristeći alate razvijene po narudžbi.
Tickler zlonamjerni softver priprema pozornicu za dodatne prijetnje zlonamjernim softverom
Tickler je identificiran kao prilagođeni, višestupanjski backdoor koji napadačima omogućuje instaliranje dodatnog zlonamjernog softvera na ugrožene sustave. Prema Microsoftu, zlonamjerni sadržaji povezani s Ticklerom mogu prikupljati informacije o sustavu, izvršavati naredbe, brisati datoteke i preuzimati ili postavljati datoteke na i s poslužitelja za naredbe i kontrolu (C&C).
Prethodne APT33 kampanje kibernetičkog kriminala
U studenom 2023. iranska skupina prijetnji primijenila je sličnu taktiku za probijanje mreža izvođača obrambenih radova na globalnoj razini, uvođenjem zlonamjernog softvera za stražnja vrata FalseFont. Nekoliko mjeseci ranije, istraživači su izdali upozorenje o još jednoj APT33 kampanji koja je ciljala na tisuće organizacija širom svijeta putem opsežnih napada sprejom lozinki od veljače 2023., što je rezultiralo kršenjima unutar obrambenog, satelitskog i farmaceutskog sektora.
Kako bi poboljšao sigurnost protiv krađe identiteta i otmice računa, Microsoft je najavio da će počevši od 15. listopada multifaktorska provjera autentičnosti (MFA) postati obavezna za sve pokušaje prijave na Azure.
Backdoor zlonamjerni softver može dovesti do ozbiljnih posljedica za žrtve
Backdoor zlonamjerni softver predstavlja značajne rizike za pojedinačne korisnike i organizacije jer omogućuje neovlašteni pristup ugroženim sustavima. Jednom instaliran, backdoor zlonamjerni softver stvara skrivene ulazne točke koje napadačima omogućuju zaobilaženje tradicionalnih sigurnosnih mjera i preuzimanje kontrole nad mrežom žrtve. Ovaj povišeni pristup može dovesti do niza teških posljedica.
Prvo, backdoor zlonamjerni softver omogućuje napadačima prikupljanje osjetljivih informacija, uključujući osobne podatke, financijsku evidenciju i intelektualno vlasništvo. Ovi prikupljeni podaci mogu se koristiti za krađu identiteta, financijske prijevare ili korporativnu špijunažu. Osim toga, zlonamjerni softver može olakšati daljnje napade omogućavanjem instalacije dodatnog zlonamjernog softvera, uključujući ransomware, koji može šifrirati kritične datoteke i zahtijevati otkupninu za njihovo objavljivanje.
Drugo, backdoor malware može ugroziti integritet sustava i poremetiti operacije. Napadači mogu manipulirati ili brisati važne datoteke, dirati u konfiguracije sustava i onemogućiti sigurnosne alate, što dovodi do prekida rada i značajnih financijskih gubitaka. Ovaj poremećaj može biti posebno štetan za sektore kritične infrastrukture, kao što su zdravstvo, financije i energija, gdje prekidi sustava mogu utjecati na javnu sigurnost i usluge.
Štoviše, backdoor malware često olakšava tajni nadzor i špijunažu. Napadači mogu nadzirati korisničke aktivnosti, hvatati pritiske tipki i pristupati sadržajima web kamere bez znanja žrtve, što dovodi do kršenja privatnosti i povjerljivih informacija.
Ukratko, backdoor zlonamjerni softver predstavlja ozbiljne rizike narušavanjem sigurnosti podataka, operativnog integriteta i privatnosti. Njegova sposobnost pružanja trajnog, neovlaštenog pristupa čini ga snažnom prijetnjom koja zahtijeva snažne sigurnosne mjere i budno praćenje kako bi se ublažio njegov utjecaj.