Tickler Malware
Un actor iranian de amenințări sponsorizat de stat a folosit o ușă din spate personalizată nou dezvoltată în atacuri care vizează organizații din Statele Unite și Emiratele Arabe Unite. Grupul de hacking APT33 , cunoscut și sub numele de Peach Sandstorm și Refined Kitten, a implementat malware necunoscut anterior, acum urmărit ca Tickler, pentru a compromite rețelele de organizații din sectoarele guvernamentale, apărării, satelit, petrol și gaze. Potrivit cercetătorilor, acest grup, care operează sub Corpul Gărzii Revoluționare Islamice Iraniene (IRGC), a folosit malware-ul într-o campanie de strângere de informații între aprilie și iulie 2024. În timpul acestor atacuri, hackerii au folosit infrastructura Microsoft Azure pentru comandă și... Operațiunile de control (C2), bazându-se pe abonamente Azure frauduloase care au fost întrerupte de companie.
Cuprins
Sectoarele cruciale vizate de operațiunea de atac
Între aprilie și mai 2024, APT33 a vizat organizații din sectoarele de apărare, spațiu, educație și guvern prin atacuri de succes prin pulverizare de parole. Aceste atacuri au implicat încercarea de a accesa mai multe conturi folosind un set limitat de parole utilizate în mod obișnuit pentru a evita declanșarea blocării conturilor.
Deși activitatea de pulverizare a parolelor a fost observată în diferite sectoare, cercetătorii au remarcat că Peach Sandstorm a exploatat în mod special conturile de utilizatori compromise în sectorul educației pentru a-și stabili infrastructura operațională. Actorii amenințărilor fie au accesat abonamentele Azure existente, fie au creat altele noi folosind conturile compromise pentru a-și găzdui infrastructura. Această infrastructură Azure a fost apoi utilizată în operațiuni ulterioare care vizează sectoarele guvernamentale, apărării și spațiului.
În ultimul an, Peach Sandstorm s-a infiltrat cu succes în mai multe organizații din aceste sectoare folosind instrumente dezvoltate personalizat.
Tickler Malware pregătește scena pentru amenințări suplimentare de malware
Tickler este identificat ca o ușă din spate personalizată, în mai multe etape, care permite atacatorilor să instaleze programe malware suplimentare pe sistemele compromise. Potrivit Microsoft, încărcăturile utile rău intenționate legate de Tickler pot aduna informații de sistem, executa comenzi, șterge fișiere și pot descărca sau încărca fișiere către și de pe un server de comandă și control (C&C).
Campaniile anterioare de criminalitate cibernetică APT33
În noiembrie 2023, grupul iranian de amenințare a folosit o tactică similară pentru a încălca rețelele contractorilor de apărare la nivel global, implementând malware-ul FalseFont. Cu câteva luni mai devreme, cercetătorii au emis un avertisment cu privire la o altă campanie APT33 care a vizat mii de organizații din întreaga lume prin atacuri extinse de pulverizare de parole din februarie 2023, care au dus la încălcări în sectoarele de apărare, satelit și farmaceutic.
Pentru a spori securitatea împotriva phishingului și a deturnării conturilor, Microsoft a anunțat că începând cu 15 octombrie, autentificarea cu mai mulți factori (MFA) va deveni obligatorie pentru toate încercările de conectare la Azure.
Un malware de tip Backdoor poate duce la consecințe grave pentru victime
Un malware de tip backdoor prezintă riscuri semnificative atât pentru utilizatorii individuali, cât și pentru organizații, oferind acces neautorizat la sistemele compromise. Odată instalat, malware-ul backdoor creează puncte de intrare ascunse care permit atacatorilor să ocolească măsurile tradiționale de securitate și să obțină controlul asupra rețelei victimei. Acest acces ridicat poate duce la o serie de consecințe grave.
În primul rând, malware-ul backdoor le permite atacatorilor să colecteze informații sensibile, inclusiv date personale, înregistrări financiare și proprietate intelectuală. Aceste date colectate pot fi folosite pentru furt de identitate, fraudă financiară sau spionaj corporativ. În plus, malware-ul poate facilita alte atacuri, permițând instalarea de software rău intenționat suplimentar, inclusiv ransomware, care poate cripta fișierele critice și poate solicita o răscumpărare pentru eliberarea lor.
În al doilea rând, programele malware backdoor pot compromite integritatea sistemului și pot perturba operațiunile. Atacatorii pot manipula sau șterge fișiere importante, pot modifica configurațiile sistemului și pot dezactiva instrumentele de securitate, ceea ce duce la perioade de nefuncționare și pierderi financiare semnificative. Această întrerupere poate fi deosebit de dăunătoare pentru sectoarele de infrastructură critică, cum ar fi sănătatea, finanțele și energia, unde întreruperile sistemului pot afecta siguranța publică și serviciile.
Mai mult, programele malware de tip backdoor facilitează adesea supravegherea sub acoperire și spionajul. Atacatorii pot monitoriza activitățile utilizatorilor, pot captura apăsările de taste și pot accesa fluxurile webcam fără știrea victimei, ceea ce duce la încălcări ale confidențialității și a informațiilor confidențiale.
În rezumat, un malware de tip backdoor prezintă riscuri grave prin subminarea securității datelor, a integrității operaționale și a confidențialității. Capacitatea sa de a oferi acces persistent și neautorizat îl face o amenințare puternică care necesită măsuri de securitate robuste și monitorizare vigilentă pentru a-și atenua impactul.
