Tickler Malware
Un attore di minacce sponsorizzato dallo stato iraniano ha utilizzato una backdoor personalizzata di recente sviluppo in attacchi mirati a organizzazioni negli Stati Uniti e negli Emirati Arabi Uniti. Il gruppo di hacker APT33 , noto anche come Peach Sandstorm e Refined Kitten, ha distribuito malware precedentemente sconosciuto, ora tracciato come Tickler, per compromettere reti di organizzazioni nei settori governativo, della difesa, satellitare, petrolifero e del gas. Secondo i ricercatori, questo gruppo, che opera sotto il Corpo delle guardie rivoluzionarie islamiche iraniane (IRGC), ha utilizzato il malware in una campagna di raccolta di informazioni tra aprile e luglio 2024. Durante questi attacchi, gli hacker hanno utilizzato l'infrastruttura Microsoft Azure per operazioni di comando e controllo (C2), basandosi su abbonamenti Azure fraudolenti che sono stati da allora interrotti dall'azienda.
Sommario
Settori cruciali presi di mira dall’operazione di attacco
Tra aprile e maggio 2024, APT33 ha preso di mira organizzazioni nei settori della difesa, dello spazio, dell'istruzione e del governo tramite attacchi password spray di successo. Questi attacchi hanno comportato il tentativo di accedere a più account utilizzando un set limitato di password comunemente utilizzate per evitare di innescare blocchi di account.
Sebbene l'attività di password spray sia stata osservata in vari settori, i ricercatori hanno notato che Peach Sandstorm ha sfruttato specificamente gli account utente compromessi nel settore dell'istruzione per stabilire la propria infrastruttura operativa. Gli autori della minaccia hanno avuto accesso alle sottoscrizioni Azure esistenti o ne hanno create di nuove utilizzando gli account compromessi per ospitare la propria infrastruttura. Questa infrastruttura Azure è stata quindi utilizzata in ulteriori operazioni mirate ai settori governativo, della difesa e spaziale.
Nel corso dell'ultimo anno, Peach Sandstorm è riuscita a infiltrarsi con successo in numerose organizzazioni di questi settori, avvalendosi di strumenti sviluppati su misura.
Il malware Tickler prepara il terreno per ulteriori minacce malware
Tickler è identificato come una backdoor personalizzata e multi-fase che consente agli aggressori di installare malware aggiuntivo su sistemi compromessi. Secondo Microsoft, i payload dannosi collegati a Tickler possono raccogliere informazioni di sistema, eseguire comandi, eliminare file e scaricare o caricare file da e verso un server Command and Control (C&C).
Campagne precedenti di APT33 Cybercrime
Nel novembre 2023, il gruppo di minacce iraniano ha impiegato una tattica simile per violare le reti degli appaltatori della difesa a livello globale, distribuendo il malware backdoor FalseFont. Un paio di mesi prima, i ricercatori avevano emesso un avviso su un'altra campagna APT33 che aveva preso di mira migliaia di organizzazioni in tutto il mondo attraverso estesi attacchi password spray da febbraio 2023, con conseguenti violazioni nei settori della difesa, satellitare e farmaceutico.
Per migliorare la sicurezza contro il phishing e il dirottamento degli account, Microsoft ha annunciato che a partire dal 15 ottobre l'autenticazione a più fattori (MFA) diventerà obbligatoria per tutti i tentativi di accesso ad Azure.
Un malware backdoor può causare gravi conseguenze alle vittime
Un malware backdoor pone rischi significativi sia per i singoli utenti che per le organizzazioni, fornendo accesso non autorizzato a sistemi compromessi. Una volta installato, il malware backdoor crea punti di ingresso nascosti che consentono agli aggressori di aggirare le misure di sicurezza tradizionali e ottenere il controllo sulla rete di una vittima. Questo accesso elevato può portare a una serie di gravi conseguenze.
In primo luogo, il malware backdoor consente agli aggressori di raccogliere informazioni sensibili, tra cui dati personali, registri finanziari e proprietà intellettuale. Questi dati raccolti possono essere utilizzati per furto di identità, frode finanziaria o spionaggio aziendale. Inoltre, il malware può facilitare ulteriori attacchi abilitando l'installazione di software dannoso aggiuntivo, tra cui ransomware, che può crittografare file critici e richiedere un riscatto per il loro rilascio.
In secondo luogo, il malware backdoor può compromettere l'integrità del sistema e interrompere le operazioni. Gli aggressori possono manipolare o eliminare file importanti, manomettere le configurazioni di sistema e disabilitare gli strumenti di sicurezza, causando tempi di inattività operativi e perdite finanziarie significative. Questa interruzione può essere particolarmente dannosa per i settori delle infrastrutture critiche, come sanità, finanza ed energia, dove le interruzioni del sistema possono avere un impatto sulla sicurezza pubblica e sui servizi.
Inoltre, il malware backdoor spesso facilita la sorveglianza e lo spionaggio nascosti. Gli aggressori possono monitorare le attività degli utenti, catturare le sequenze di tasti e accedere ai feed della webcam senza che la vittima ne sia a conoscenza, portando a violazioni della privacy e delle informazioni riservate.
In sintesi, un malware backdoor presenta gravi rischi in quanto compromette la sicurezza dei dati, l'integrità operativa e la privacy. La sua capacità di fornire un accesso persistente e non autorizzato lo rende una minaccia potente che richiede misure di sicurezza robuste e un monitoraggio attento per mitigarne l'impatto.