Tickler Malware
Egy iráni, államilag támogatott fenyegetésekkel foglalkozó szereplő újonnan kifejlesztett egyéni hátsó ajtót alkalmaz az Egyesült Államokban és az Egyesült Arab Emírségekben lévő szervezeteket célzó támadásokban. Az APT33 hackercsoport, más néven Peach Sandstorm és Refined Kitten, korábban ismeretlen, ma Tickler néven nyomon követett rosszindulatú programokat telepített, hogy kompromittálja a kormányzati, védelmi, műholdas, olaj- és gázipari szervezetek hálózatait. A kutatók szerint ez a csoport, amely az Iráni Iszlám Forradalmi Gárda (IRGC) alatt működik, 2024 áprilisa és júliusa között egy hírszerzési kampányban használta a rosszindulatú programot. A támadások során a hackerek a Microsoft Azure infrastruktúráját használták a Command-and- A (C2) műveletek vezérlése a csalárd Azure-előfizetésekre támaszkodva, amelyeket azóta a vállalat megzavart.
Tartalomjegyzék
A támadási művelet által megcélzott kulcsfontosságú szektorok
2024 áprilisa és májusa között az APT33 a védelmi, az űrkutatási, az oktatási és a kormányzati szektor szervezeteit célozta meg sikeres jelszószóró támadásokkal. Ezekben a támadásokban több fiókhoz próbáltak hozzáférni a gyakran használt jelszavak korlátozott készletével, hogy elkerüljék a fiókzárolást.
Bár a jelszószóró tevékenységet különböző szektorokban figyelték meg, a kutatók megjegyezték, hogy a Peach Sandstorm kifejezetten az oktatási szektorban használt feltört felhasználói fiókokat működési infrastruktúrájuk létrehozására. A fenyegetés szereplői vagy meglévő Azure-előfizetésekhez fértek hozzá, vagy újakat hoztak létre a feltört fiókok használatával infrastruktúrájuk üzemeltetéséhez. Ezt az Azure-infrastruktúrát ezután a kormányzati, a védelmi és az űrszektort célzó további műveletekben használták.
Az elmúlt évben a Peach Sandstorm sikeresen beszivárgott több szervezetbe ezeken az ágazatokon belül egyedi fejlesztésű eszközök segítségével.
A Tickler Malware előkészíti a terepet a további rosszindulatú programok számára
A Ticklert egyéni, többlépcsős hátsó ajtóként azonosítják, amely lehetővé teszi a támadók számára, hogy további rosszindulatú programokat telepítsenek a feltört rendszerekre. A Microsoft szerint a Ticklerhez kapcsolt rosszindulatú rakományok rendszerinformációkat gyűjthetnek, parancsokat hajthatnak végre, fájlokat törölhetnek, valamint fájlokat tölthetnek le vagy tölthetnek fel a Command and Control (C&C) szerverre, illetve onnan.
Korábbi APT33 kiberbűnözés elleni kampányok
2023 novemberében az iráni fenyegetettségi csoport hasonló taktikát alkalmazott a védelmi vállalkozók hálózatának globális feltörése érdekében, és a FalseFont hátsó ajtó rosszindulatú szoftverét telepítette. Néhány hónappal korábban a kutatók figyelmeztetést adtak ki egy másik APT33 kampányról, amely 2023 februárja óta világszerte több ezer szervezetet céloz meg kiterjedt jelszószóró támadásokkal, amelyek a védelmi, a műholdas és a gyógyszeripari szektoron belüli jogsértéseket eredményeztek.
Az adathalászat és a fiók-eltérítés elleni biztonság fokozása érdekében a Microsoft bejelentette, hogy október 15-től a többtényezős hitelesítés (MFA) kötelező lesz minden Azure-bejelentkezési kísérletnél.
A Backdoor malware súlyos következményekkel járhat az áldozatokra nézve
A backdoor malware jelentős kockázatot jelent mind az egyes felhasználók, mind a szervezetek számára, mivel jogosulatlan hozzáférést biztosít a feltört rendszerekhez. A telepítés után a backdoor malware rejtett belépési pontokat hoz létre, amelyek lehetővé teszik a támadók számára, hogy megkerüljék a hagyományos biztonsági intézkedéseket, és átvehessék az irányítást az áldozat hálózata felett. Ez a megnövekedett hozzáférés számos súlyos következményhez vezethet.
Először is, a backdoor malware lehetővé teszi a támadók számára, hogy érzékeny információkat gyűjtsenek be, beleértve a személyes adatokat, a pénzügyi nyilvántartásokat és a szellemi tulajdont. Az összegyűjtött adatok felhasználhatók személyazonosság-lopásra, pénzügyi csalásra vagy vállalati kémkedésre. Ezenkívül a rosszindulatú program elősegítheti a további támadásokat azáltal, hogy lehetővé teszi további rosszindulatú szoftverek telepítését, beleértve a zsarolóprogramokat, amelyek titkosíthatják a kritikus fájlokat, és váltságdíjat követelhetnek a kiadásukért.
Másodszor, a backdoor malware veszélyeztetheti a rendszer integritását és megzavarhatja a működést. A támadók manipulálhatják vagy törölhetik a fontos fájlokat, módosíthatják a rendszerkonfigurációkat és letilthatják a biztonsági eszközöket, ami működési leálláshoz és jelentős pénzügyi veszteségekhez vezethet. Ez a fennakadás különösen káros lehet a kritikus infrastrukturális ágazatokban, például az egészségügyben, a pénzügyekben és az energetikában, ahol a rendszerkimaradások hatással lehetnek a közbiztonságra és a közszolgáltatásokra.
Sőt, a backdoor malware gyakran elősegíti a titkos megfigyelést és a kémkedést. A támadók az áldozat tudta nélkül figyelhetik a felhasználói tevékenységeket, rögzíthetik a billentyűleütéseket, és hozzáférhetnek a webkamera hírcsatornáihoz, ami a magánélet és a bizalmas információk megsértéséhez vezethet.
Összefoglalva, a hátsó ajtóban működő rosszindulatú programok komoly kockázatokat jelentenek, mivel aláássák az adatbiztonságot, a működési integritást és a magánélet védelmét. Folyamatos, jogosulatlan hozzáférést biztosító képessége erős fenyegetést jelent, amely erőteljes biztonsági intézkedéseket és éber felügyeletet igényel a hatások mérséklése érdekében.