Iránski hackeri nasadzujú malvér Tickler vo vysoko stávkových kybernetických útokoch
V súvislosti s vývojom globálnej kybernetickej bezpečnosti iránski hackeri sponzorovaní štátom zaviedli nový vlastný malvér s názvom Tickler , ktorý má infiltrovať a zhromažďovať informácie o kritickej infraštruktúre v Spojených štátoch a Spojených arabských emirátoch. Skupina stojaca za touto sofistikovanou kampaňou, sledovanou spoločnosťou Microsoft ako Peach Sandstorm – známa aj pod rôznymi inými prezývkami ako APT33 , Elfin a Refined Kitten – bola neúnavná v snahe získať cenné údaje z cieľových sektorov.
Obsah
Nová hrozba v kybernetickej aréne
Tickler nie je len ďalší kus malvéru; predstavuje významný skok v schopnostiach iránskych nástrojov kybernetickej špionáže. Toto viacstupňové zadné vrátka je navrhnuté tak, aby sa ponorilo hlboko do kompromitovaných systémov a umožnilo útočníkom vykonávať celý rad škodlivých aktivít. Od zhromažďovania citlivých systémových informácií až po vykonávanie príkazov a manipuláciu so súbormi, Tickler slúži ako všestranný nástroj pre útočníkov.
Zacielenie na kritické sektory
Medzi hlavné ciele tejto kampane patria organizácie v rámci satelitného, komunikačného, vládneho a ropného a plynárenského priemyslu – sektorov, ktoré sú rozhodujúce pre národnú bezpečnosť USA aj Spojených arabských emirátov. Stratégia útočníkov je jasná: narušiť a zhromaždiť spravodajské informácie zo sektorov, ktoré zohrávajú kľúčovú úlohu v infraštruktúre týchto krajín.
Trvalá hrozba broskyňovej piesočnej búrky
Peach Sandstorm v priebehu rokov preukázala pretrvávajúcu a vyvíjajúcu sa hrozbu. Koncom roka 2023 sa aktivity skupiny zintenzívnili a zamerali sa na zamestnancov v rámci americkej obrannej priemyselnej základne. Ich prístup nie je obmedzený na technické využitie; Využili tiež sociálne inžinierstvo, najmä prostredníctvom LinkedIn, aby zhromaždili informácie a uskutočnili svoje hanebné plány.
Sila sociálneho inžinierstva
LinkedIn sa ukázal ako cenný nástroj pre týchto hackerov, ktorý im umožňuje vytvárať presvedčivé útoky sociálneho inžinierstva, ktoré lákajú ich ciele k falošnému pocitu bezpečia. Manipuláciou dôvery v rámci profesionálnych sietí Peach Sandstorm účinne porušuje obranu, ktorá by inak zostala bezpečná.
Rozširujú svoj arzenál
Okrem používania Ticklera skupina pokračovala v útokoch na sprejovanie hesiel, čo je technika zameraná na kompromitovanie viacerých účtov využívaním slabých hesiel. Nedávno boli tieto útoky pozorované v sektoroch obrany, vesmíru, vzdelávania a vládnych sektorov v USA a Austrálii.
Využitie cloudovej infraštruktúry na škodlivé zisky
Jedným z najviac alarmujúcich aspektov tejto kampane je používanie podvodných predplatných Azure na operácie príkazov a riadenia. Využitím legitímnej cloudovej infraštruktúry môžu hackeri skryť svoje aktivity a sťažiť obrancom detekciu a zmiernenie ich útokov.
Koordinovaná kybernetická ofenzíva
Načasovanie správy Microsoftu o Peach Sandstorm je pozoruhodné a zhoduje sa so správou Mandiant spoločnosti Google Cloud o operáciách iránskej kontrarozviedky a poradou vlády USA o kybernetických aktivitách sponzorovaných Iránom. To naznačuje širšie, koordinované úsilie iránskych aktérov o rozšírenie ich kybernetického vplyvu a spoluprácu s ransomvérovými skupinami na zosilnenie ich vplyvu.
Potreba bdelosti
Keďže iránski hackeri pokračujú vo vývoji svojej taktiky, je nevyhnutné, aby organizácie, najmä tie v kritických sektoroch, zostali ostražití. Predstavenie Tickler predstavuje novú kapitolu v kybernetickej špionáži, ktorá zdôrazňuje potrebu silných opatrení v oblasti kybernetickej bezpečnosti a medzinárodnej spolupráce v boji proti týmto rastúcim hrozbám.
Profesionáli a organizácie v oblasti kybernetickej bezpečnosti si musia udržať náskok pred týmto vývojom a zabezpečiť, aby boli pripravení brániť sa čoraz sofistikovanejším útokom zo strany štátom podporovaných aktérov, ako je Peach Sandstorm .