Malware Tickler
Irański aktor zagrożeń sponsorowany przez państwo wykorzystywał nowo opracowane niestandardowe tylne drzwi w atakach na organizacje w Stanach Zjednoczonych i Zjednoczonych Emiratach Arabskich. Grupa hakerska APT33 , znana również jako Peach Sandstorm i Refined Kitten, wdrożyła nieznane wcześniej złośliwe oprogramowanie, obecnie śledzone jako Tickler, w celu naruszenia sieci organizacji w sektorach rządowym, obronnym, satelitarnym, naftowym i gazowym. Według badaczy ta grupa, która działa w ramach Korpusu Strażników Rewolucji Islamskiej (IRGC), wykorzystała złośliwe oprogramowanie w kampanii zbierania informacji wywiadowczych między kwietniem a lipcem 2024 r. Podczas tych ataków hakerzy wykorzystali infrastrukturę Microsoft Azure do operacji Command-and-Control (C2), polegając na fałszywych subskrypcjach Azure, które od tego czasu zostały zakłócone przez firmę.
Spis treści
Kluczowe sektory objęte operacją ataku
Między kwietniem a majem 2024 r. APT33 atakowało organizacje z sektora obronnego, kosmicznego, edukacyjnego i rządowego za pomocą udanych ataków typu password spray. Ataki te polegały na próbie uzyskania dostępu do wielu kont przy użyciu ograniczonego zestawu powszechnie używanych haseł, aby uniknąć wywoływania blokad kont.
Chociaż aktywność rozpylania haseł była obserwowana w różnych sektorach, badacze zauważyli, że Peach Sandstorm wykorzystywał konkretnie naruszone konta użytkowników w sektorze edukacji, aby ustanowić swoją infrastrukturę operacyjną. Aktorzy zagrożenia uzyskali dostęp do istniejących subskrypcji Azure lub utworzyli nowe, używając naruszonych kont do hostowania swojej infrastruktury. Ta infrastruktura Azure została następnie wykorzystana w dalszych operacjach wymierzonych w sektory rządowy, obronny i kosmiczny.
W ciągu ostatniego roku Peach Sandstorm skutecznie zinfiltrował wiele organizacji z tych sektorów, wykorzystując w tym celu specjalnie opracowane narzędzia.
Oprogramowanie Tickler Malware przygotowuje grunt pod dodatkowe zagrożenia ze strony złośliwego oprogramowania
Tickler jest identyfikowany jako niestandardowy, wieloetapowy backdoor, który umożliwia atakującym instalowanie dodatkowego złośliwego oprogramowania w zainfekowanych systemach. Według Microsoftu złośliwe ładunki powiązane z Tickler mogą zbierać informacje o systemie, wykonywać polecenia, usuwać pliki oraz pobierać lub przesyłać pliki do i z serwera Command and Control (C&C).
Poprzednie kampanie cyberprzestępcze APT33
W listopadzie 2023 r. irańska grupa zagrożeń zastosowała podobną taktykę, aby włamać się do sieci wykonawców obronnych na całym świecie, wdrażając złośliwe oprogramowanie typu backdoor FalseFont. Kilka miesięcy wcześniej badacze wydali ostrzeżenie o innej kampanii APT33, która od lutego 2023 r. była skierowana przeciwko tysiącom organizacji na całym świecie za pomocą rozległych ataków polegających na rozpylaniu haseł, co doprowadziło do naruszeń w sektorach obronnym, satelitarnym i farmaceutycznym.
Aby zwiększyć bezpieczeństwo przed phishingiem i przejęciem kont, firma Microsoft ogłosiła, że od 15 października uwierzytelnianie wieloskładnikowe (MFA) stanie się obowiązkowe w przypadku wszystkich prób logowania do platformy Azure.
Oprogramowanie typu backdoor może mieć poważne konsekwencje dla ofiar
Oprogramowanie typu backdoor stwarza poważne ryzyko zarówno dla użytkowników indywidualnych, jak i organizacji, zapewniając nieautoryzowany dostęp do zagrożonych systemów. Po zainstalowaniu oprogramowanie typu backdoor tworzy ukryte punkty wejścia, które pozwalają atakującym ominąć tradycyjne środki bezpieczeństwa i uzyskać kontrolę nad siecią ofiary. Ten podwyższony poziom dostępu może prowadzić do szeregu poważnych konsekwencji.
Po pierwsze, malware typu backdoor umożliwia atakującym zbieranie poufnych informacji, w tym danych osobowych, zapisów finansowych i własności intelektualnej. Zebrane dane mogą być wykorzystane do kradzieży tożsamości, oszustw finansowych lub szpiegostwa korporacyjnego. Ponadto malware może ułatwiać dalsze ataki, umożliwiając instalację dodatkowego złośliwego oprogramowania, w tym ransomware, które może szyfrować krytyczne pliki i żądać okupu za ich uwolnienie.
Po drugie, złośliwe oprogramowanie typu backdoor może naruszyć integralność systemu i zakłócić jego działanie. Atakujący mogą manipulować lub usuwać ważne pliki, manipulować konfiguracjami systemu i wyłączać narzędzia bezpieczeństwa, co prowadzi do przestoju operacyjnego i znacznych strat finansowych. Zakłócenie to może być szczególnie szkodliwe dla sektorów infrastruktury krytycznej, takich jak opieka zdrowotna, finanse i energetyka, gdzie awarie systemu mogą mieć wpływ na bezpieczeństwo publiczne i usługi.
Ponadto złośliwe oprogramowanie typu backdoor często ułatwia ukryty nadzór i szpiegostwo. Atakujący mogą monitorować działania użytkowników, przechwytywać naciśnięcia klawiszy i uzyskiwać dostęp do kanałów z kamer internetowych bez wiedzy ofiary, co prowadzi do naruszenia prywatności i poufnych informacji.
Podsumowując, malware typu backdoor stwarza poważne ryzyko, podważając bezpieczeństwo danych, integralność operacyjną i prywatność. Jego zdolność do zapewniania trwałego, nieautoryzowanego dostępu sprawia, że jest to poważne zagrożenie, które wymaga solidnych środków bezpieczeństwa i czujnego monitorowania w celu złagodzenia jego wpływu.