Tickler Malware

Seorang pelakon ancaman tajaan kerajaan Iran telah menggunakan pintu belakang tersuai yang baru dibangunkan dalam serangan yang menyasarkan organisasi di Amerika Syarikat dan Emiriah Arab Bersatu. Kumpulan penggodaman APT33 , juga dikenali sebagai Peach Sandstorm dan Refined Kitten, telah menggunakan perisian hasad yang tidak diketahui sebelum ini, kini dijejaki sebagai Tickler, untuk menjejaskan rangkaian organisasi dalam sektor kerajaan, pertahanan, satelit, minyak dan gas. Menurut penyelidik, kumpulan ini, yang beroperasi di bawah Kor Pengawal Revolusi Islam Iran (IRGC), menggunakan perisian hasad dalam kempen pengumpulan risikan antara April dan Julai 2024. Semasa serangan ini, penggodam menggunakan infrastruktur Microsoft Azure untuk Perintah-dan- Operasi Kawalan (C2), bergantung pada langganan Azure penipuan yang sejak itu telah diganggu oleh syarikat.

Sektor Penting yang Disasarkan oleh Operasi Serangan

Antara April dan Mei 2024, APT33 menyasarkan organisasi dalam sektor pertahanan, angkasa lepas, pendidikan dan kerajaan melalui serangan semburan kata laluan yang berjaya. Serangan ini melibatkan percubaan untuk mengakses berbilang akaun menggunakan set terhad kata laluan yang biasa digunakan untuk mengelak daripada mencetuskan sekatan akaun.

Walaupun aktiviti semburan kata laluan diperhatikan merentasi pelbagai sektor, penyelidik menyatakan bahawa Peach Sandstorm secara khusus mengeksploitasi akaun pengguna yang terjejas dalam sektor pendidikan untuk mewujudkan infrastruktur operasi mereka. Aktor ancaman sama ada mengakses langganan Azure sedia ada atau mencipta langganan baharu menggunakan akaun yang terjejas untuk mengehoskan infrastruktur mereka. Infrastruktur Azure ini kemudiannya digunakan dalam operasi selanjutnya yang menyasarkan sektor kerajaan, pertahanan dan angkasa lepas.

Sepanjang tahun lalu, Peach Sandstorm telah berjaya menyusup ke beberapa organisasi dalam sektor ini dengan menggunakan alatan yang dibangunkan tersuai.

Tickler Malware Menetapkan Tahap untuk Ancaman Malware Tambahan

Tickler dikenal pasti sebagai pintu belakang berbilang peringkat tersuai yang membenarkan penyerang memasang perisian hasad tambahan pada sistem yang terjejas. Menurut Microsoft, muatan berniat jahat yang dikaitkan dengan Tickler boleh mengumpulkan maklumat sistem, melaksanakan arahan, memadam fail dan memuat turun atau memuat naik fail ke dan dari pelayan Perintah dan Kawalan (C&C).

Kempen Jenayah Siber APT33 Sebelumnya

Pada November 2023, kumpulan ancaman Iran menggunakan taktik yang sama untuk melanggar rangkaian kontraktor pertahanan di seluruh dunia, menggunakan perisian hasad pintu belakang FalseFont. Beberapa bulan sebelum itu, penyelidik telah mengeluarkan amaran tentang satu lagi kempen APT33 yang telah menyasarkan beribu-ribu organisasi di seluruh dunia melalui serangan semburan kata laluan yang meluas sejak Februari 2023, mengakibatkan pelanggaran dalam sektor pertahanan, satelit dan farmaseutikal.

Untuk meningkatkan keselamatan terhadap pancingan data dan rampasan akaun, Microsoft mengumumkan bahawa mulai 15 Oktober, pengesahan berbilang faktor (MFA) akan menjadi wajib untuk semua percubaan log masuk Azure.

Perisian Hasad Pintu Belakang Boleh Membawa kepada Akibat Teruk untuk Mangsa

Malware pintu belakang menimbulkan risiko besar kepada pengguna individu dan organisasi dengan menyediakan akses tanpa kebenaran kepada sistem yang terjejas. Setelah dipasang, perisian hasad pintu belakang mencipta titik masuk tersembunyi yang membolehkan penyerang memintas langkah keselamatan tradisional dan mendapatkan kawalan ke atas rangkaian mangsa. Akses tinggi ini boleh membawa kepada pelbagai akibat yang teruk.

Pertama, perisian hasad pintu belakang membolehkan penyerang mengumpul maklumat sensitif, termasuk data peribadi, rekod kewangan dan harta intelek. Data yang dikumpul ini boleh digunakan untuk kecurian identiti, penipuan kewangan atau pengintipan korporat. Selain itu, perisian hasad boleh memudahkan serangan selanjutnya dengan mendayakan pemasangan perisian hasad tambahan, termasuk perisian tebusan, yang boleh menyulitkan fail kritikal dan menuntut wang tebusan untuk pembebasannya.

Kedua, perisian hasad pintu belakang boleh menjejaskan integriti sistem dan mengganggu operasi. Penyerang boleh memanipulasi atau memadam fail penting, mengusik konfigurasi sistem dan melumpuhkan alatan keselamatan, yang membawa kepada masa henti operasi dan kerugian kewangan yang ketara. Gangguan ini boleh merosakkan sektor infrastruktur kritikal, seperti penjagaan kesihatan, kewangan dan tenaga, di mana gangguan sistem boleh menjejaskan keselamatan dan perkhidmatan awam.

Lebih-lebih lagi, perisian hasad pintu belakang sering memudahkan pengawasan dan pengintipan rahsia. Penyerang boleh memantau aktiviti pengguna, menangkap ketukan kekunci dan mengakses suapan kamera web tanpa pengetahuan mangsa, yang membawa kepada pelanggaran privasi dan maklumat sulit.

Ringkasnya, perisian hasad pintu belakang memberikan risiko yang serius dengan menjejaskan keselamatan data, integriti operasi dan privasi. Keupayaannya untuk menyediakan akses yang berterusan dan tidak dibenarkan menjadikannya ancaman yang kuat yang memerlukan langkah keselamatan yang teguh dan pemantauan berwaspada untuk mengurangkan kesannya.

Catatan Berkaitan

Trending

Paling banyak dilihat

Memuatkan...