Irano įsilaužėliai diegia „Tickler“ kenkėjiškas programas didelės apimties kibernetinėse atakose
Siekdami plėtoti pasaulinį kibernetinį saugumą, Irano valstybės remiami įsilaužėliai pristatė naują tinkintą kenkėjišką programą, pavadintą „Tickler“ , siekdami įsiskverbti į JAV ir Jungtinių Arabų Emyratų svarbiausią infrastruktūrą ir rinkti žvalgybos informaciją. Grupė už šią sudėtingą kampaniją, kurią Microsoft seka kaip Peach Sandstorm (taip pat žinomas įvairiais kitais slapyvardžiais, tokiais kaip APT33 , Elfinas ir Refined Kitten), nenumaldomai siekė vertingų duomenų iš tikslinių sektorių.
Turinys
Nauja grėsmė kibernetinėje arenoje
Tickler yra ne tik dar viena kenkėjiška programa; tai reikšmingas Irano kibernetinio šnipinėjimo įrankių galimybių šuolis. Šios kelių pakopų užpakalinės durys yra skirtos giliai įsiskverbti į pažeistas sistemas, leidžiančios užpuolikams vykdyti daugybę kenkėjiškų veiksmų. Nuo jautrios sistemos informacijos rinkimo iki komandų vykdymo ir failų tvarkymo, „Tickler“ yra universalus įrankis užpuolikams.
Nukreipimas į svarbiausius sektorius
Pagrindiniai šios kampanijos tikslai yra palydovų, ryšių, vyriausybės ir naftos bei dujų pramonės organizacijos – sektoriai, kurie yra labai svarbūs tiek JAV, tiek JAE nacionaliniam saugumui. Užpuolikų strategija aiški: sutrikdyti ir rinkti žvalgybos duomenis iš sektorių, kurie atlieka pagrindinį vaidmenį šių šalių infrastruktūroje.
Nuolatinė persikų smėlio audros grėsmė
Persikų smėlio audra per daugelį metų demonstravo nuolatinę ir besikeičiančią grėsmę. 2023 m. pabaigoje grupės veikla suaktyvėjo, daugiausia dėmesio skiriant JAV gynybos pramonės bazės darbuotojams. Jų požiūris neapsiriboja techniniais išnaudojimais; jie taip pat panaudojo socialinę inžineriją, ypač per LinkedIn, kad surinktų žvalgybos duomenis ir įgyvendintų savo niekšiškus planus.
Socialinės inžinerijos galia
„LinkedIn“ pasirodė esąs vertingas įrankis šiems įsilaužėliams, leidžiantis jiems sukurti įtikinamų socialinės inžinerijos atakų, kurios privilioja jų taikinius į klaidingą saugumo jausmą. Manipuliuodamas pasitikėjimu profesionaliuose tinkluose, Peach Sandstorm veiksmingai pažeidžia gynybą, kuri kitu atveju liktų saugi.
Plečia savo arsenalą
Be „Tickler“ naudojimo, grupė ir toliau taikė slaptažodžių purškimo atakas – techniką, kuria siekiama pažeisti kelias paskyras naudojant silpnus slaptažodžius. Pastaruoju metu šios atakos buvo stebimos gynybos, kosmoso, švietimo ir vyriausybės sektoriuose JAV ir Australijoje.
Debesų infrastruktūros panaudojimas žalingam pelnui gauti
Vienas iš labiausiai nerimą keliančių šios kampanijos aspektų yra apgaulingų „Azure“ prenumeratų naudojimas komandų ir valdymo operacijoms. Naudodami teisėtą debesų infrastruktūrą, įsilaužėliai gali paslėpti savo veiklą ir apsunkinti gynėjų atakas aptikti ir sušvelninti.
Koordinuotas kibernetinis puolimas
Įsidėmėtinas „Microsoft“ ataskaitos apie Peach Sandstorm laikas, kuris sutampa su „Google Cloud“ Mandiant ataskaita apie Irano kontržvalgybos operacijas ir JAV vyriausybės patarimu dėl Irano valstybės remiamos kibernetinės veiklos. Tai rodo platesnes, koordinuotas Irano veikėjų pastangas plėsti savo kibernetinę įtaką ir bendradarbiauti su išpirkos programų grupėmis, kad sustiprintų jų poveikį.
Budrumo poreikis
Kadangi Irano įsilaužėliai ir toliau tobulina savo taktiką, organizacijoms, ypač toms, kurios dirba svarbiuose sektoriuose, būtina išlikti budrioms. „Tickler “ įdiegimas žymi naują kibernetinio šnipinėjimo skyrių, pabrėždamas tvirtų kibernetinio saugumo priemonių ir tarptautinio bendradarbiavimo poreikį kovojant su šiomis augančiomis grėsmėmis.
Kibernetinio saugumo specialistai ir organizacijos turi neatsilikti nuo šių pokyčių ir užtikrinti, kad jie būtų pasirengę apsiginti nuo vis sudėtingesnių valstybės remiamų veikėjų, tokių kaip Peach Sandstorm, atakų.