Иранские хакеры используют вредоносное ПО Tickler для проведения кибератак с высокими ставками
В тревожном развитии глобальной кибербезопасности иранские хакеры, спонсируемые государством, представили новое вредоносное ПО, названное Tickler , для проникновения и сбора разведданных о критической инфраструктуре в Соединенных Штатах и Объединенных Арабских Эмиратах. Группа, стоящая за этой сложной кампанией, отслеживаемая Microsoft как Peach Sandstorm — также известная под различными другими псевдонимами, такими как APT33 , Elfin и Refined Kitten — неустанно добивается ценных данных из целевых секторов.
Оглавление
Новая угроза на киберарене
Tickler — это не просто еще один вредоносный код; он представляет собой значительный скачок в возможностях иранских инструментов кибершпионажа. Этот многоступенчатый бэкдор предназначен для глубокого проникновения в скомпрометированные системы, позволяя злоумышленникам выполнять ряд вредоносных действий. От сбора конфиденциальной системной информации до выполнения команд и манипулирования файлами, Tickler служит универсальным инструментом для злоумышленников.
Ориентация на критически важные секторы
Основными целями этой кампании являются организации в спутниковой, коммуникационной, правительственной и нефтегазовой отраслях — секторах, которые имеют решающее значение для национальной безопасности как США, так и ОАЭ. Стратегия злоумышленников ясна: нарушать и собирать разведданные из секторов, которые играют ключевую роль в инфраструктурах этих стран.
Постоянная угроза персиковой песчаной бури
Peach Sandstorm продемонстрировала постоянную и развивающуюся угрозу на протяжении многих лет. В конце 2023 года деятельность группы активизировалась, сосредоточившись на сотрудниках оборонной промышленной базы США. Их подход не ограничивается техническими эксплойтами; они также использовали социальную инженерию, особенно через LinkedIn, для сбора разведданных и осуществления своих гнусных планов.
Сила социальной инженерии
LinkedIn оказался ценным инструментом для этих хакеров, позволяя им создавать убедительные атаки социальной инженерии, которые вводят их цели в ложное чувство безопасности. Манипулируя доверием в профессиональных сетях, Peach Sandstorm эффективно разрушает защиту, которая в противном случае оставалась бы надежной.
Расширение арсенала
В дополнение к использованию Tickler , группа продолжала использовать атаки с использованием паролей, технику, направленную на компрометацию нескольких учетных записей путем использования слабых паролей. В последнее время такие атаки наблюдались в оборонном, космическом, образовательном и государственном секторах по всей территории США и Австралии.
Использование облачной инфраструктуры для получения вредных выгод
Одним из наиболее тревожных аспектов этой кампании является использование мошеннических подписок Azure для операций командования и контроля. Используя легитимную облачную инфраструктуру, хакеры могут скрывать свою деятельность и усложнять защитникам задачу обнаружения и отражения их атак.
Скоординированное кибернаступление
Примечательно, что отчет Microsoft о Peach Sandstorm совпал с отчетом Mandiant от Google Cloud об иранских контрразведывательных операциях и рекомендациями правительства США о спонсируемой государством кибердеятельности Ирана. Это говорит о более широких, скоординированных усилиях иранских субъектов по расширению своего кибервлияния и сотрудничеству с группами вымогателей для усиления своего воздействия.
Необходимость бдительности
Поскольку иранские хакеры продолжают совершенствовать свои тактики, крайне важно, чтобы организации, особенно в критических секторах, сохраняли бдительность. Появление Tickler знаменует собой новую главу в кибершпионаже, подчеркивая необходимость надежных мер кибербезопасности и международного сотрудничества для борьбы с этими растущими угрозами.
Специалисты и организации по кибербезопасности должны опережать эти разработки, гарантируя готовность защищаться от все более изощренных атак со стороны спонсируемых государством субъектов, таких как Peach Sandstorm .