Вредоносное ПО Tickler
Спонсируемый государством иранский злоумышленник использовал недавно разработанный специальный бэкдор для атак на организации в Соединенных Штатах и Объединенных Арабских Эмиратах. Хакерская группа APT33 , также известная как Peach Sandstorm и Refined Kitten, использовала ранее неизвестное вредоносное ПО, теперь отслеживаемое как Tickler, для взлома сетей организаций в правительственном, оборонном, спутниковом, нефтегазовом секторах. По словам исследователей, эта группа, которая действует под началом Корпуса стражей исламской революции Ирана (КСИР), использовала вредоносное ПО в ходе кампании по сбору разведывательной информации в период с апреля по июль 2024 года. Во время этих атак хакеры использовали инфраструктуру Microsoft Azure для операций командования и управления (C2), полагаясь на мошеннические подписки Azure, которые с тех пор были нарушены компанией.
Оглавление
Ключевые сектора, на которые нацелена операция нападения
В период с апреля по май 2024 года APT33 атаковала организации в оборонном, космическом, образовательном и государственном секторах с помощью успешных атак с использованием паролей. Эти атаки включали попытки доступа к нескольким учетным записям с использованием ограниченного набора часто используемых паролей, чтобы избежать блокировки учетных записей.
Хотя активность распыления паролей наблюдалась в различных секторах, исследователи отметили, что Peach Sandstorm специально эксплуатировала скомпрометированные учетные записи пользователей в секторе образования для создания своей операционной инфраструктуры. Злоумышленники либо получали доступ к существующим подпискам Azure, либо создавали новые, используя скомпрометированные учетные записи для размещения своей инфраструктуры. Затем эта инфраструктура Azure использовалась в дальнейших операциях, нацеленных на правительственный, оборонный и космический секторы.
За последний год Peach Sandstorm успешно проникла в несколько организаций в этих секторах, используя специально разработанные инструменты.
Вредоносное ПО Tickler подготавливает почву для дополнительных вредоносных угроз
Tickler идентифицируется как пользовательский многоступенчатый бэкдор, который позволяет злоумышленникам устанавливать дополнительное вредоносное ПО на скомпрометированных системах. По данным Microsoft, вредоносные полезные нагрузки, связанные с Tickler, могут собирать системную информацию, выполнять команды, удалять файлы и загружать или выгружать файлы на сервер управления и контроля (C&C) и с него.
Предыдущие кампании киберпреступности APT33
В ноябре 2023 года иранская группа угроз использовала похожую тактику для взлома сетей оборонных подрядчиков по всему миру, развернув вредоносное ПО FalseFont. Пару месяцев назад исследователи выпустили предупреждение о другой кампании APT33, которая была нацелена на тысячи организаций по всему миру посредством масштабных атак с распылением паролей с февраля 2023 года, что привело к нарушениям в оборонном, спутниковом и фармацевтическом секторах.
Для повышения уровня защиты от фишинга и взлома учетных записей компания Microsoft объявила, что с 15 октября многофакторная аутентификация (MFA) станет обязательной для всех попыток входа в Azure.
Вредоносное ПО может привести к серьезным последствиям для жертв
Вредоносное ПО бэкдора представляет значительные риски как для отдельных пользователей, так и для организаций, предоставляя несанкционированный доступ к скомпрометированным системам. После установки вредоносное ПО бэкдора создает скрытые точки входа, которые позволяют злоумышленникам обходить традиционные меры безопасности и получать контроль над сетью жертвы. Такой повышенный доступ может привести к ряду серьезных последствий.
Во-первых, вредоносное ПО бэкдора позволяет злоумышленникам собирать конфиденциальную информацию, включая персональные данные, финансовые записи и интеллектуальную собственность. Эти собранные данные могут быть использованы для кражи личных данных, финансового мошенничества или корпоративного шпионажа. Кроме того, вредоносное ПО может способствовать дальнейшим атакам, позволяя устанавливать дополнительное вредоносное ПО, включая программы-вымогатели, которые могут шифровать критически важные файлы и требовать выкуп за их освобождение.
Во-вторых, вредоносное ПО бэкдора может поставить под угрозу целостность системы и нарушить работу. Злоумышленники могут манипулировать или удалять важные файлы, вмешиваться в системные конфигурации и отключать инструменты безопасности, что приводит к простоям в работе и значительным финансовым потерям. Такое нарушение может быть особенно разрушительным для критически важных секторов инфраструктуры, таких как здравоохранение, финансы и энергетика, где сбои в работе системы могут повлиять на общественную безопасность и услуги.
Более того, вредоносное ПО бэкдора часто облегчает скрытое наблюдение и шпионаж. Злоумышленники могут отслеживать действия пользователя, перехватывать нажатия клавиш и получать доступ к веб-камерам без ведома жертвы, что приводит к нарушениям конфиденциальности и конфиденциальной информации.
Подводя итог, вредоносное ПО бэкдора представляет серьезные риски, подрывая безопасность данных, операционную целостность и конфиденциальность. Его способность обеспечивать постоянный несанкционированный доступ делает его мощной угрозой, требующей надежных мер безопасности и бдительного мониторинга для смягчения его воздействия.