Tickler Malware
Irānas valsts sponsorēts draudu izpildītājs uzbrukumos, kas vērsti pret organizācijām Amerikas Savienotajās Valstīs un Apvienotajos Arābu Emirātos, ir izmantojis nesen izstrādātas pielāgotas aizmugures durvis. Datorurķēšanas grupa APT33 , kas pazīstama arī kā Peach Sandstorm un Refined Kitten, ir izvietojusi iepriekš nezināmu ļaunprogrammatūru, kas tagad tiek izsekota kā Tickler, lai kompromitētu organizāciju tīklus valdības, aizsardzības, satelītu, naftas un gāzes nozarēs. Pēc pētnieku domām, šī grupa, kas darbojas Irānas Islāma revolucionārās gvardes korpusa (IRGC) pakļautībā, no 2024. gada aprīļa līdz jūlijam izmantoja ļaunprātīgu programmatūru izlūkdatu vākšanas kampaņā. Šo uzbrukumu laikā hakeri izmantoja Microsoft Azure infrastruktūru, lai vadītu komandu un Kontroles (C2) darbības, paļaujoties uz krāpnieciskiem Azure abonementiem, kurus uzņēmums kopš tā laika ir pārtraucis.
Satura rādītājs
Izšķirošās nozares, uz kurām vērsta uzbrukuma operācija
No 2024. gada aprīļa līdz maijam APT33 mērķēja uz organizācijām aizsardzības, kosmosa, izglītības un valdības sektorā, izmantojot veiksmīgus paroles izsmidzināšanas uzbrukumus. Šie uzbrukumi ietvēra mēģinājumus piekļūt vairākiem kontiem, izmantojot ierobežotu bieži lietotu paroļu kopu, lai izvairītos no konta bloķēšanas.
Lai gan paroles izsmidzināšanas aktivitāte tika novērota dažādās nozarēs, pētnieki atzīmēja, ka Peach Sandstorm īpaši izmantoja apdraudētus lietotāju kontus izglītības nozarē, lai izveidotu savu darbības infrastruktūru. Apdraudējuma dalībnieki vai nu piekļuva esošajiem Azure abonementiem, vai izveidoja jaunus, izmantojot apdraudētos kontus, lai mitinātu savu infrastruktūru. Pēc tam šī Azure infrastruktūra tika izmantota turpmākajās operācijās, kuru mērķis bija valsts, aizsardzības un kosmosa nozares.
Pēdējā gada laikā Peach Sandstorm ir veiksmīgi iefiltrējies vairākās šo nozaru organizācijās, izmantojot īpaši izstrādātus rīkus.
Tickler ļaunprātīga programmatūra nosaka papildu ļaunprātīgas programmatūras draudus
Tickler tiek identificēts kā pielāgots, daudzpakāpju aizmugures durvis, kas ļauj uzbrucējiem instalēt papildu ļaunprātīgu programmatūru uzlauztajās sistēmās. Saskaņā ar Microsoft teikto, ar Tickler saistītās ļaunprātīgās slodzes var apkopot sistēmas informāciju, izpildīt komandas, dzēst failus un lejupielādēt vai augšupielādēt failus uz komandu un vadības (C&C) serveri un no tā.
Iepriekšējās APT33 kibernoziedzības kampaņas
2023. gada novembrī Irānas draudu grupa izmantoja līdzīgu taktiku, lai visā pasaulē uzlauztu aizsardzības darbuzņēmēju tīklus, izvietojot FalseFont aizmugures durvju ļaunprogrammatūru. Pāris mēnešus iepriekš pētnieki bija izplatījuši brīdinājumu par citu APT33 kampaņu, kas kopš 2023. gada februāra bija vērsta pret tūkstošiem organizāciju visā pasaulē, izmantojot plašus paroļu izsmidzināšanas uzbrukumus, kā rezultātā tika konstatēti pārkāpumi aizsardzības, satelītu un farmācijas nozarēs.
Lai uzlabotu drošību pret pikšķerēšanu un kontu nolaupīšanu, Microsoft paziņoja, ka no 15. oktobra daudzfaktoru autentifikācija (MFA) kļūs obligāta visiem Azure pierakstīšanās mēģinājumiem.
Aizmugurējo durvju ļaunprātīga programmatūra var radīt nopietnas sekas upuriem
Aizmugurējo durvju ļaunprātīga programmatūra rada ievērojamus riskus gan atsevišķiem lietotājiem, gan organizācijām, nodrošinot nesankcionētu piekļuvi uzlauztām sistēmām. Pēc instalēšanas aizmugures ļaunprātīga programmatūra izveido slēptus ieejas punktus, kas ļauj uzbrucējiem apiet tradicionālos drošības pasākumus un iegūt kontroli pār upura tīklu. Šī paaugstinātā piekļuve var izraisīt virkni nopietnu seku.
Pirmkārt, aizmugures ļaunprātīga programmatūra ļauj uzbrucējiem iegūt sensitīvu informāciju, tostarp personas datus, finanšu ierakstus un intelektuālo īpašumu. Šos savāktos datus var izmantot identitātes zādzībai, finanšu krāpšanai vai korporatīvai spiegošanai. Turklāt ļaunprogrammatūra var veicināt turpmākus uzbrukumus, ļaujot instalēt papildu ļaunprātīgu programmatūru, tostarp izpirkuma programmatūru, kas var šifrēt kritiskos failus un pieprasīt izpirkuma maksu par to izlaišanu.
Otrkārt, aizmugures ļaunprātīga programmatūra var apdraudēt sistēmas integritāti un traucēt darbību. Uzbrucēji var manipulēt ar svarīgiem failiem vai dzēst tos, manipulēt ar sistēmas konfigurācijām un atspējot drošības rīkus, izraisot darbības dīkstāvi un ievērojamus finansiālus zaudējumus. Šie traucējumi var būt īpaši kaitīgi kritiskās infrastruktūras nozarēm, piemēram, veselības aprūpei, finansēm un enerģētikai, kur sistēmas darbības pārtraukumi var ietekmēt sabiedrisko drošību un pakalpojumus.
Turklāt aizmugures ļaunprātīga programmatūra bieži vien atvieglo slēptu novērošanu un spiegošanu. Uzbrucēji var pārraudzīt lietotāju darbības, tvert taustiņsitienus un piekļūt tīmekļa kameru plūsmām bez upura ziņas, tādējādi radot privātuma un konfidenciālas informācijas pārkāpumus.
Rezumējot, aizmugures ļaunprātīga programmatūra rada nopietnus riskus, apdraudot datu drošību, darbības integritāti un privātumu. Tā spēja nodrošināt pastāvīgu, nesankcionētu piekļuvi padara to par spēcīgu apdraudējumu, kura ietekmes mazināšanai nepieciešami stingri drošības pasākumi un uzmanīga uzraudzība.