Tickler Malware
En iransk statsstøttet trusselaktør har brukt en nyutviklet tilpasset bakdør i angrep rettet mot organisasjoner i USA og De forente arabiske emirater. Hackinggruppen APT33 , også kjent som Peach Sandstorm og Refined Kitten, har distribuert tidligere ukjent skadelig programvare, nå sporet som Tickler, for å kompromittere nettverk av organisasjoner i regjeringen, forsvaret, satellitt-, olje- og gasssektorene. Ifølge forskere brukte denne gruppen, som opererer under Irans Islamic Revolutionary Guard Corps (IRGC), skadevare i en etterretningsinnhentingskampanje mellom april og juli 2024. Under disse angrepene brukte hackerne Microsoft Azure-infrastruktur for Command-and- Kontroller (C2) operasjoner, avhengig av uredelige Azure-abonnementer som siden har blitt forstyrret av selskapet.
Innholdsfortegnelse
Avgjørende sektorer målrettet av angrepsoperasjonen
Mellom april og mai 2024 målrettet APT33 organisasjoner i forsvars-, romfarts-, utdannings- og regjeringssektorene gjennom vellykkede passordsprayangrep. Disse angrepene innebar forsøk på å få tilgang til flere kontoer ved å bruke et begrenset sett med ofte brukte passord for å unngå å utløse kontosperringer.
Selv om passordsprayaktiviteten ble observert på tvers av ulike sektorer, bemerket forskere at Peach Sandstorm spesifikt utnyttet kompromitterte brukerkontoer i utdanningssektoren for å etablere sin operative infrastruktur. Trusselaktørene fikk enten tilgang til eksisterende Azure-abonnementer eller opprettet nye ved å bruke de kompromitterte kontoene for å være vert for infrastrukturen deres. Denne Azure-infrastrukturen ble deretter brukt i videre operasjoner rettet mot regjeringen, forsvars- og romsektoren.
I løpet av det siste året har Peach Sandstorm med suksess infiltrert flere organisasjoner innenfor disse sektorene ved å bruke spesialutviklede verktøy.
Tickler-malware setter scenen for ytterligere trusler mot skadelig programvare
Tickler er identifisert som en tilpasset flertrinns bakdør som lar angripere installere ytterligere skadelig programvare på kompromitterte systemer. Ifølge Microsoft kan de ondsinnede nyttelastene knyttet til Tickler samle systeminformasjon, utføre kommandoer, slette filer og laste ned eller laste opp filer til og fra en Command and Control (C&C) server.
Tidligere APT33 Cybercrime-kampanjer
I november 2023 brukte den iranske trusselgruppen en lignende taktikk for å bryte nettverkene til forsvarsentreprenører globalt, ved å distribuere FalseFont bakdør-malware. Et par måneder tidligere hadde forskere gitt ut en advarsel om en annen APT33-kampanje som hadde vært rettet mot tusenvis av organisasjoner over hele verden gjennom omfattende passordsprayangrep siden februar 2023, noe som resulterte i brudd innenfor forsvars-, satellitt- og farmasøytisk sektor.
For å øke sikkerheten mot phishing og kontokapring, kunngjorde Microsoft at fra og med 15. oktober vil multifaktorautentisering (MFA) bli obligatorisk for alle Azure-påloggingsforsøk.
En bakdørs skadelig programvare kan føre til alvorlige konsekvenser for ofrene
En bakdør malware utgjør betydelige risikoer for både individuelle brukere og organisasjoner ved å gi uautorisert tilgang til kompromitterte systemer. Når den er installert, skaper bakdør malware skjulte inngangspunkter som lar angripere omgå tradisjonelle sikkerhetstiltak og få kontroll over et offers nettverk. Denne høye tilgangen kan føre til en rekke alvorlige konsekvenser.
For det første gjør bakdør skadelig programvare angripere i stand til å høste sensitiv informasjon, inkludert personlige data, økonomiske poster og åndsverk. Disse innsamlede dataene kan brukes til identitetstyveri, økonomisk svindel eller bedriftsspionasje. I tillegg kan skadelig programvare lette ytterligere angrep ved å muliggjøre installasjon av ytterligere skadelig programvare, inkludert løsepengeprogramvare, som kan kryptere kritiske filer og kreve løsepenger for utgivelsen.
For det andre kan bakdør malware kompromittere systemintegriteten og forstyrre driften. Angripere kan manipulere eller slette viktige filer, tukle med systemkonfigurasjoner og deaktivere sikkerhetsverktøy, noe som fører til driftsstans og betydelige økonomiske tap. Denne forstyrrelsen kan være spesielt skadelig for kritiske infrastruktursektorer, som helsevesen, finans og energi, der systembrudd kan påvirke offentlig sikkerhet og tjenester.
Dessuten letter bakdør malware ofte skjult overvåking og spionasje. Angripere kan overvåke brukeraktiviteter, fange tastetrykk og få tilgang til webkamerafeeder uten offerets viten, noe som fører til brudd på personvern og konfidensiell informasjon.
Oppsummert, en bakdør malware utgjør alvorlige risikoer ved å undergrave datasikkerhet, operasjonell integritet og personvern. Dens evne til å gi vedvarende, uautorisert tilgang gjør den til en potent trussel som krever robuste sikkerhetstiltak og årvåken overvåking for å dempe virkningen.