Az iráni hackerek Tickler rosszindulatú programokat telepítenek nagy tétű kibertámadások során
A globális kiberbiztonság aggályos fejlesztése során az iráni állam által támogatott hackerek egy új egyéni kártevőt vezettek be, a Tickler névre keresztelt, hogy beszivárogjanak az Egyesült Államok és az Egyesült Arab Emírségek kritikus infrastruktúrájába, és információkat gyűjtsenek azokról. A Microsoft által Peach Sandstorm néven nyomon követett, kifinomult kampány mögött álló csoport – más néven APT33 , Elfin és Refined Kitten – könyörtelenül kereste a megcélzott ágazatokból származó értékes adatokat.
Tartalomjegyzék
Új fenyegetés a kiberarénában
A Tickler nem csak egy rosszindulatú program; jelentős ugrást jelent az iráni kiberkémeszközök képességeiben. Ezt a többlépcsős hátsó ajtót úgy tervezték, hogy mélyen behatoljon a feltört rendszerekbe, lehetővé téve a támadók számára, hogy számos rosszindulatú tevékenységet hajtsanak végre. Az érzékeny rendszerinformációk gyűjtésétől a parancsok végrehajtásáig és a fájlok manipulálásáig a Tickler sokoldalú eszközként szolgál a támadók számára.
A kritikus szektorok megcélzása
A kampány elsődleges célpontjai közé tartoznak a műholdas, a kommunikációs, a kormányzati, valamint az olaj- és gázipar szervezetei – az Egyesült Államok és az Egyesült Arab Emírségek nemzetbiztonsága szempontjából egyaránt kritikus ágazatok. A támadók stratégiája egyértelmű: megzavarni és hírszerzési információkat gyűjteni olyan szektorokból, amelyek kulcsszerepet játszanak ezen nemzetek infrastruktúrájában.
Az őszibarack-homokvihar tartós fenyegetése
A Peach Sandstorm az évek során tartós és folyamatosan fejlődő fenyegetést mutatott. 2023 végén a csoport tevékenysége felpörgött, és az amerikai védelmi ipari bázis alkalmazottaira összpontosított. Megközelítésük nem korlátozódik a technikai kizsákmányolásokra; szociális tervezést is alkalmaztak, különösen a LinkedInen keresztül, hogy intelligenciát gyűjtsenek és aljas terveikat megvalósítsák.
A társadalmi tervezés ereje
A LinkedIn értékes eszköznek bizonyult ezeknek a hackereknek, lehetővé téve számukra, hogy meggyőző social engineering támadásokat hozzanak létre, amelyek hamis biztonságérzetre csábítják célpontjaikat. A professzionális hálózatokon belüli bizalom manipulálásával a Peach Sandstorm hatékonyan megsérti azokat a védelmeket, amelyek egyébként biztonságosak maradnának.
Arzenáljuk bővítése
A Tickler használata mellett a csoport továbbra is alkalmaz jelszószóró támadásokat, amelyek célja több fiók veszélyeztetése gyenge jelszavak kihasználásával. A közelmúltban ezeket a támadásokat a védelmi, az űrkutatási, az oktatási és a kormányzati szektorban figyelték meg az Egyesült Államokban és Ausztráliában.
A felhő infrastruktúra kihasználása káros haszon érdekében
A kampány egyik legriasztóbb aspektusa a csaló Azure-előfizetések parancs- és vezérlési műveletekhez való használata. A legitim felhőinfrastruktúra kihasználásával a hackerek elrejthetik tevékenységeiket, és nagyobb kihívást jelenthetnek a védők számára a támadások észlelésében és mérséklésében.
Koordinált kibertámadás
Figyelemre méltó a Microsoft Peach Sandstormról szóló jelentésének időzítése, amely egybeesik a Google Cloud Mandiant jelentésével az iráni kémelhárítási műveletekről és az Egyesült Államok kormányának az iráni állam által támogatott kibertevékenységekről szóló tanácsával. Ez azt sugallja, hogy az iráni szereplők szélesebb körű, összehangolt erőfeszítést tesznek kiberbefolyásuk kiterjesztésére, és ransomware csoportokkal való együttműködésre, hogy fokozzák hatásukat.
Az éberség szükségessége
Mivel az iráni hackerek folyamatosan fejlesztik taktikáikat, elengedhetetlen, hogy a szervezetek, különösen a kritikus szektorokban működő szervezetek éberek maradjanak. A Tickler bevezetése új fejezetet jelent a kiberkémkedésben, hangsúlyozva, hogy határozott kiberbiztonsági intézkedésekre és nemzetközi együttműködésre van szükség a növekvő fenyegetések leküzdésére.
A kiberbiztonsági szakembereknek és szervezeteknek elébe kell menniük ezeknek a fejleményeknek, biztosítva, hogy felkészüljenek az államilag támogatott szereplők, például a Peach Sandstorm egyre kifinomultabb támadásaira.