Tickler Malware
Iranski akter, ki ga sponzorira država, uporablja na novo razvita stranska vrata v napadih na organizacije v Združenih državah in Združenih arabskih emiratih. Hekerska skupina APT33 , znana tudi kot Peach Sandstorm in Refined Kitten, je uporabila prej neznano zlonamerno programsko opremo, ki je zdaj označena kot Tickler, da bi ogrozila omrežja organizacij v vladnem, obrambnem, satelitskem, naftnem in plinskem sektorju. Po mnenju raziskovalcev je ta skupina, ki deluje pod iransko Islamsko revolucionarno gardo (IRGC), uporabljala zlonamerno programsko opremo v kampanji zbiranja obveščevalnih podatkov med aprilom in julijem 2024. Med temi napadi so hekerji uporabili infrastrukturo Microsoft Azure za ukaz in- Operacije nadzora (C2), ki temeljijo na goljufivih naročninah na Azure, ki jih je podjetje od takrat motilo.
Kazalo
Ključni sektorji, na katere je tarča napadalna operacija
Med aprilom in majem 2024 je APT33 z uspešnimi napadi z gesli ciljal na organizacije v obrambnem, vesoljskem, izobraževalnem in vladnem sektorju. Ti napadi so vključevali poskus dostopa do več računov z uporabo omejenega nabora pogosto uporabljenih gesel, da bi se izognili sprožitvi blokade računa.
Čeprav so dejavnost razprševanja gesel opazili v različnih sektorjih, so raziskovalci ugotovili, da je Peach Sandstorm posebej izrabljal ogrožene uporabniške račune v izobraževalnem sektorju za vzpostavitev njihove operativne infrastrukture. Akterji groženj so dostopali do obstoječih naročnin na Azure ali ustvarili nove z uporabo ogroženih računov za gostovanje svoje infrastrukture. Ta infrastruktura Azure je bila nato uporabljena v nadaljnjih operacijah, usmerjenih v vladni, obrambni in vesoljski sektor.
V zadnjem letu se je Peach Sandstorm uspešno infiltriral v več organizacij znotraj teh sektorjev z uporabo orodij, razvitih po meri.
Zlonamerna programska oprema Tickler pripravlja temelj za dodatne grožnje zlonamerne programske opreme
Tickler je opredeljen kot večstopenjska stranska vrata po meri, ki napadalcem omogočajo namestitev dodatne zlonamerne programske opreme v ogrožene sisteme. Po mnenju Microsofta lahko zlonamerne obremenitve, povezane s Ticklerjem, zbirajo sistemske informacije, izvajajo ukaze, brišejo datoteke in prenašajo ali nalagajo datoteke v in iz strežnika za ukaze in nadzor (C&C).
Prejšnje kampanje APT33 za kibernetski kriminal
Novembra 2023 je iranska groženjska skupina uporabila podobno taktiko za vdiranje v omrežja obrambnih izvajalcev po vsem svetu, pri čemer je namestila zlonamerno programsko opremo FalseFont za stranska vrata. Nekaj mesecev prej so raziskovalci izdali opozorilo o drugi kampanji APT33, ki je od februarja 2023 ciljala na tisoče organizacij po vsem svetu z obsežnimi napadi z razprševanjem gesel, kar je povzročilo kršitve v obrambnem, satelitskem in farmacevtskem sektorju.
Da bi izboljšal varnost pred lažnim predstavljanjem in ugrabitvijo računa, je Microsoft napovedal, da bo od 15. oktobra večfaktorska avtentikacija (MFA) postala obvezna za vse poskuse prijave v Azure.
Zlonamerna programska oprema za zakulisna vrata lahko povzroči resne posledice za žrtve
Zlonamerna programska oprema za zakulisna vrata predstavlja veliko tveganje za posamezne uporabnike in organizacije, saj omogoča nepooblaščen dostop do ogroženih sistemov. Ko je zlonamerna programska oprema za zakulisna vrata nameščena, ustvari skrite vstopne točke, ki napadalcem omogočajo, da obidejo tradicionalne varnostne ukrepe in pridobijo nadzor nad omrežjem žrtve. Ta povišan dostop lahko povzroči vrsto resnih posledic.
Prvič, zakulisna zlonamerna programska oprema napadalcem omogoča zbiranje občutljivih informacij, vključno z osebnimi podatki, finančnimi evidencami in intelektualno lastnino. Te zbrane podatke je mogoče uporabiti za krajo identitete, finančne goljufije ali korporativno vohunjenje. Poleg tega lahko zlonamerna programska oprema olajša nadaljnje napade tako, da omogoči namestitev dodatne zlonamerne programske opreme, vključno z izsiljevalsko programsko opremo, ki lahko šifrira kritične datoteke in zahteva odkupnino za njihovo sprostitev.
Drugič, zlonamerna programska oprema za zakulisna vrata lahko ogrozi celovitost sistema in moti delovanje. Napadalci lahko manipulirajo ali izbrišejo pomembne datoteke, posegajo v sistemske konfiguracije in onemogočijo varnostna orodja, kar povzroči izpad delovanja in znatne finančne izgube. Ta motnja je lahko še posebej škodljiva za sektorje kritične infrastrukture, kot so zdravstvo, finance in energija, kjer lahko izpadi sistema vplivajo na javno varnost in storitve.
Še več, zakulisna zlonamerna programska oprema pogosto omogoča prikrito opazovanje in vohunjenje. Napadalci lahko spremljajo dejavnosti uporabnikov, zajemajo pritiske tipk in dostopajo do virov spletne kamere brez vednosti žrtve, kar vodi do kršitev zasebnosti in zaupnih informacij.
Če povzamemo, zlonamerna programska oprema za zakulisna vrata predstavlja resna tveganja, saj spodkopava varnost podatkov, operativno celovitost in zasebnost. Zaradi njegove zmožnosti zagotavljanja trajnega, nepooblaščenega dostopa je močna grožnja, ki zahteva močne varnostne ukrepe in budno spremljanje za ublažitev njenega vpliva.