Tickler Malware
Iránsky štátom podporovaný aktér hrozby využíva novo vyvinuté vlastné zadné vrátka pri útokoch zameraných na organizácie v Spojených štátoch a Spojených arabských emirátoch. Hackerská skupina APT33 , tiež známa ako Peach Sandstorm a Refined Kitten, nasadila predtým neznámy malvér, teraz sledovaný ako Tickler, aby kompromitovala siete organizácií vo vládnom, obrannom, satelitnom, ropnom a plynárenskom sektore. Podľa výskumníkov táto skupina, ktorá pôsobí pod zborom Iránskych islamských revolučných gárd (IRGC), použila malvér v kampani na zhromažďovanie spravodajských informácií medzi aprílom a júlom 2024. Počas týchto útokov hackeri využili infraštruktúru Microsoft Azure na velenie a Kontrolné (C2) operácie, ktoré sa spoliehajú na podvodné predplatné Azure, ktoré spoločnosť medzitým prerušila.
Obsah
Rozhodujúce sektory, na ktoré sa útok zameriava
Medzi aprílom a májom 2024 sa APT33 zameral na organizácie v rezorte obrany, kozmického priestoru, vzdelávania a vlády prostredníctvom úspešných útokov sprejom hesiel. Tieto útoky zahŕňali pokus o prístup k viacerým účtom pomocou obmedzeného súboru bežne používaných hesiel, aby sa predišlo zablokovaniu účtov.
Hoci aktivita sprejovania hesiel bola pozorovaná v rôznych sektoroch, výskumníci poznamenali, že Peach Sandstorm špecificky využíval kompromitované používateľské účty v sektore vzdelávania na vytvorenie svojej prevádzkovej infraštruktúry. Aktéri hrozby buď pristupovali k existujúcim predplatným Azure, alebo vytvorili nové pomocou napadnutých účtov na hosťovanie svojej infraštruktúry. Táto infraštruktúra Azure sa potom použila v ďalších operáciách zameraných na vládny, obranný a vesmírny sektor.
Za posledný rok Peach Sandstorm úspešne infiltroval niekoľko organizácií v rámci týchto sektorov pomocou nástrojov vyvinutých na mieru.
Tickler Malware pripravuje pôdu pre ďalšie hrozby škodlivého softvéru
Tickler je identifikovaný ako vlastné, viacstupňové zadné vrátka, ktoré útočníkom umožňuje inštalovať ďalší malvér na napadnuté systémy. Podľa Microsoftu môžu škodlivé dáta spojené s Ticklerom zhromažďovať systémové informácie, spúšťať príkazy, mazať súbory a sťahovať alebo nahrávať súbory na a zo servera Command and Control (C&C).
Predchádzajúce APT33 kampane proti počítačovej kriminalite
V novembri 2023 použila iránska skupina pre hrozby podobnú taktiku na prelomenie sietí dodávateľov obrany na celom svete a nasadila malvér FalseFont backdoor. Pred niekoľkými mesiacmi výskumníci vydali varovanie pred ďalšou kampaňou APT33, ktorá sa od februára 2023 zameriavala na tisíce organizácií na celom svete prostredníctvom rozsiahlych útokov na sprejovanie hesiel, čo malo za následok porušenia v obrannom, satelitnom a farmaceutickom sektore.
Na zvýšenie zabezpečenia proti phishingu a krádeži účtov spoločnosť Microsoft oznámila, že od 15. októbra bude povinné viacfaktorové overenie (MFA) pre všetky pokusy o prihlásenie do Azure.
Backdoor malware môže mať pre obete vážne následky
Malvér typu backdoor predstavuje značné riziko pre jednotlivých používateľov aj organizácie tým, že poskytuje neoprávnený prístup k napadnutým systémom. Po nainštalovaní backdoor malware vytvára skryté vstupné body, ktoré útočníkom umožňujú obísť tradičné bezpečnostné opatrenia a získať kontrolu nad sieťou obete. Tento zvýšený prístup môže viesť k celému radu vážnych následkov.
Po prvé, malvér typu backdoor umožňuje útočníkom získavať citlivé informácie vrátane osobných údajov, finančných záznamov a duševného vlastníctva. Tieto zhromaždené údaje môžu byť použité na krádež identity, finančné podvody alebo firemnú špionáž. Okrem toho môže malvér uľahčiť ďalšie útoky tým, že povolí inštaláciu ďalšieho škodlivého softvéru vrátane ransomvéru, ktorý dokáže zašifrovať kritické súbory a požadovať výkupné za ich vydanie.
Po druhé, malvér typu backdoor môže ohroziť integritu systému a narušiť operácie. Útočníci môžu manipulovať alebo odstraňovať dôležité súbory, manipulovať s konfiguráciami systému a deaktivovať bezpečnostné nástroje, čo vedie k výpadkom prevádzky a značným finančným stratám. Toto narušenie môže byť obzvlášť škodlivé pre sektory kritickej infraštruktúry, ako je zdravotníctvo, financie a energetika, kde výpadky systému môžu ovplyvniť verejnú bezpečnosť a služby.
Okrem toho malvér typu backdoor často uľahčuje skryté sledovanie a špionáž. Útočníci môžu monitorovať aktivity používateľov, zachytávať stlačenia klávesov a pristupovať k zdrojom z webovej kamery bez vedomia obete, čo vedie k narušeniu súkromia a dôverných informácií.
Stručne povedané, malvér typu backdoor predstavuje vážne riziko, pretože podkopáva bezpečnosť údajov, prevádzkovú integritu a súkromie. Jeho schopnosť poskytovať trvalý, neoprávnený prístup z neho robí silnú hrozbu, ktorá si vyžaduje robustné bezpečnostné opatrenia a ostražité monitorovanie na zmiernenie jej dopadu.