Tickler kenkėjiška programa
Irano valstybės remiamas grėsmių veikėjas panaudojo naujai sukurtą individualų užpakalinį durų išpuolį, nukreiptą prieš organizacijas Jungtinėse Valstijose ir Jungtiniuose Arabų Emyratuose. Įsilaužimų grupė APT33 , dar žinoma kaip Peach Sandstorm ir Refined Kitten, įdiegė anksčiau nežinomą kenkėjišką programą, dabar sekamą kaip Tickler, kad pakenktų organizacijų tinklams vyriausybės, gynybos, palydovų, naftos ir dujų sektoriuose. Tyrėjų teigimu, ši Irano Islamo revoliucijos gvardijos korpuso (IRGC) vadovaujama grupuotė naudojo kenkėjišką programinę įrangą vykdydama žvalgybos kampaniją 2024 m. balandžio–liepos mėn. Per šias atakas įsilaužėliai naudojo „Microsoft Azure“ infrastruktūrą, kad galėtų valdyti ir valdyti. Valdykite (C2) operacijas, remdamiesi nesąžiningomis „Azure“ prenumeratomis, kurias nuo to laiko įmonė sutrikdė.
Turinys
Svarbiausi sektoriai, kuriems taikoma puolimo operacija
2024 m. balandžio–gegužės mėn. APT33 taikėsi į gynybos, kosmoso, švietimo ir vyriausybės sektorių organizacijas, vykdydama sėkmingas slaptažodžių purškimo atakas. Šios atakos buvo susijusios su bandymu pasiekti kelias paskyras naudojant ribotą dažnai naudojamų slaptažodžių rinkinį, kad būtų išvengta paskyros blokavimo.
Nors slaptažodžių purškimo veikla buvo stebima įvairiuose sektoriuose, mokslininkai pastebėjo, kad Peach Sandstorm specialiai išnaudojo pažeistas vartotojų paskyras švietimo sektoriuje, kad sukurtų savo veiklos infrastruktūrą. Grėsmės veikėjai arba pasiekė esamas „Azure“ prenumeratas, arba sukūrė naujas, naudodami pažeistas paskyras, kad priglobtų savo infrastruktūrą. Tada ši „Azure“ infrastruktūra buvo naudojama tolesnėse operacijose, skirtose vyriausybės, gynybos ir kosmoso sektoriams.
Per pastaruosius metus „Peach Sandstorm“ sėkmingai įsiskverbė į keletą šių sektorių organizacijų, naudodama specialiai sukurtas priemones.
„Tickler“ kenkėjiška programa nustato papildomų kenkėjiškų programų grėsmių etapą
„Tickler“ identifikuojamas kaip pritaikytas kelių etapų užpakalinis durelis, leidžiantis užpuolikams įdiegti papildomų kenkėjiškų programų pažeistose sistemose. „Microsoft“ teigimu, su „Tickler“ susietos kenkėjiškos apkrovos gali rinkti sistemos informaciją, vykdyti komandas, ištrinti failus ir atsisiųsti arba įkelti failus į komandų ir valdymo (C&C) serverį ir iš jo.
Ankstesnės APT33 kibernetinių nusikaltimų kampanijos
2023 m. lapkritį Irano grėsmių grupė taikė panašią taktiką, siekdama pažeisti gynybos rangovų tinklus visame pasaulyje, įdiegdama „FalseFont“ užpakalinių durų kenkėjišką programą. Prieš porą mėnesių tyrėjai paskelbė įspėjimą apie kitą APT33 kampaniją, kuri nuo 2023 m. vasario buvo nukreipta į tūkstančius organizacijų visame pasaulyje per plačias slaptažodžių purškimo atakas, dėl kurių buvo pažeisti gynybos, palydovų ir farmacijos sektoriai.
Siekdama sustiprinti apsaugą nuo sukčiavimo ir paskyros užgrobimo, „Microsoft“ paskelbė, kad nuo spalio 15 d. kelių veiksnių autentifikavimas (MFA) taps privalomas visiems „Azure“ prisijungimo bandymams.
„Backdoor“ kenkėjiška programa gali sukelti rimtų pasekmių aukoms
Užpakalinių durų kenkėjiška programa kelia didelę riziką tiek atskiriems vartotojams, tiek organizacijoms, nes suteikia neteisėtą prieigą prie pažeistų sistemų. Įdiegta užpakalinių durų kenkėjiška programa sukuria paslėptus įėjimo taškus, leidžiančius užpuolikams apeiti tradicines saugos priemones ir valdyti aukos tinklą. Ši padidinta prieiga gali sukelti daugybę sunkių pasekmių.
Pirma, užpakalinių durų kenkėjiška programa leidžia užpuolikams surinkti neskelbtiną informaciją, įskaitant asmens duomenis, finansinius įrašus ir intelektinę nuosavybę. Šie surinkti duomenys gali būti naudojami tapatybės vagystei, finansiniam sukčiavimui ar įmonių šnipinėjimui. Be to, kenkėjiška programa gali palengvinti tolesnes atakas, leisdama įdiegti papildomą kenkėjišką programinę įrangą, įskaitant išpirkos reikalaujančią programinę įrangą, kuri gali užšifruoti svarbius failus ir reikalauti išpirkos už jų išleidimą.
Antra, užpakalinių durų kenkėjiška programa gali pažeisti sistemos vientisumą ir sutrikdyti operacijas. Užpuolikai gali manipuliuoti ar ištrinti svarbius failus, sugadinti sistemos konfigūracijas ir išjungti saugos įrankius, todėl gali prastovos laikas ir dideli finansiniai nuostoliai. Šis sutrikimas gali būti ypač žalingas ypatingos svarbos infrastruktūros sektoriams, tokiems kaip sveikatos priežiūra, finansai ir energetika, kur sistemos nutrūkimai gali turėti įtakos visuomenės saugumui ir paslaugoms.
Be to, užpakalinių durų kenkėjiška programa dažnai palengvina slaptą stebėjimą ir šnipinėjimą. Užpuolikai gali stebėti naudotojų veiklą, užfiksuoti klavišų paspaudimus ir pasiekti internetinės kameros kanalus be aukos žinios, todėl pažeidžiamas privatumas ir konfidenciali informacija.
Apibendrinant galima pasakyti, kad užpakalinių durų kenkėjiška programa kelia rimtą pavojų, nes kenkia duomenų saugumui, veikimo vientisumui ir privatumui. Dėl savo gebėjimo užtikrinti nuolatinę, neteisėtą prieigą, ji kelia stiprią grėsmę, kuriai reikia griežtų saugumo priemonių ir akylos stebėjimo, kad būtų sumažintas jos poveikis.