Tickler Malware
Një aktor kërcënimi i sponsorizuar nga shteti iranian ka përdorur një derë të pasme me porosi të zhvilluar rishtazi në sulmet që synojnë organizata në Shtetet e Bashkuara dhe Emiratet e Bashkuara Arabe. Grupi i hakerave APT33 , i njohur gjithashtu si Peach Sandstorm dhe Refined Kitten, ka vendosur malware të panjohur më parë, tani të gjurmuar si Tickler, për të kompromentuar rrjetet e organizatave në sektorët e qeverisë, mbrojtjes, satelitit, naftës dhe gazit. Sipas studiuesve, ky grup, i cili operon nën Korpusin e Gardës Revolucionare Islamike iraniane (IRGC), përdori malware në një fushatë për mbledhjen e inteligjencës midis prillit dhe korrikut 2024. Gjatë këtyre sulmeve, hakerët përdorën infrastrukturën Microsoft Azure për Komandën dhe- Operacionet e kontrollit (C2), duke u mbështetur në abonimet mashtruese të Azure që që atëherë janë ndërprerë nga kompania.
Tabela e Përmbajtjes
Sektorët vendimtarë të synuar nga operacioni i sulmit
Midis prillit dhe majit 2024, APT33 synoi organizata në sektorët e mbrojtjes, hapësirës, arsimit dhe qeverisë përmes sulmeve të suksesshme me spërkatje të fjalëkalimeve. Këto sulme përfshinin përpjekjen për të hyrë në llogari të shumta duke përdorur një grup të kufizuar fjalëkalimesh të përdorura zakonisht për të shmangur shkaktimin e bllokimeve të llogarisë.
Megjithëse aktiviteti i spërkatjes së fjalëkalimeve u vëzhgua në sektorë të ndryshëm, studiuesit vunë re se Peach Sandstorm shfrytëzoi në mënyrë specifike llogaritë e përdoruesve të komprometuar në sektorin e arsimit për të krijuar infrastrukturën e tyre operative. Aktorët e kërcënimit ose aksesuan abonimet ekzistuese Azure ose krijuan të reja duke përdorur llogaritë e komprometuara për të pritur infrastrukturën e tyre. Kjo infrastrukturë Azure u përdor më pas në operacione të mëtejshme që synonin sektorin e qeverisë, mbrojtjes dhe hapësirës.
Gjatë vitit të kaluar, Peach Sandstorm ka depërtuar me sukses në disa organizata brenda këtyre sektorëve duke përdorur mjete të zhvilluara me porosi.
Tickler Malware vendos fazën për kërcënime shtesë malware
Tickler identifikohet si një derë e pasme me shumë faza, e cila i lejon sulmuesit të instalojnë malware shtesë në sistemet e komprometuara. Sipas Microsoft, ngarkesat me qëllim të keq të lidhura me Tickler mund të mbledhin informacione të sistemit, të ekzekutojnë komanda, të fshijnë skedarë dhe të shkarkojnë ose ngarkojnë skedarë në dhe nga një server Command and Control (C&C).
Fushata të mëparshme të krimit kibernetik APT33
Në nëntor 2023, grupi iranian i kërcënimit përdori një taktikë të ngjashme për të shkelur rrjetet e kontraktorëve të mbrojtjes globalisht, duke vendosur malware-in e pasme FalseFont. Disa muaj më parë, studiuesit kishin lëshuar një paralajmërim për një tjetër fushatë APT33 që kishte synuar mijëra organizata në mbarë botën përmes sulmeve të gjera me sprucim të fjalëkalimeve që nga shkurti 2023, duke rezultuar në shkelje brenda sektorëve të mbrojtjes, satelitit dhe farmaceutikës.
Për të rritur sigurinë kundër phishing dhe rrëmbimit të llogarisë, Microsoft njoftoi se duke filluar nga 15 tetori, vërtetimi me shumë faktorë (MFA) do të bëhet i detyrueshëm për të gjitha përpjekjet për hyrje në Azure.
Një program keqdashës i prapambetur mund të çojë në pasoja të rënda për viktimat
Një malware me dyer të pasme paraqet rreziqe të konsiderueshme si për përdoruesit individualë ashtu edhe për organizatat duke ofruar akses të paautorizuar në sistemet e komprometuara. Pasi të instalohet, malware i pasme krijon pika hyrje të fshehura që lejojnë sulmuesit të anashkalojnë masat tradicionale të sigurisë dhe të fitojnë kontrollin mbi rrjetin e viktimës. Kjo qasje e ngritur mund të çojë në një sërë pasojash të rënda.
Së pari, malware i prapambetur u mundëson sulmuesve të mbledhin informacione të ndjeshme, duke përfshirë të dhënat personale, të dhënat financiare dhe pronën intelektuale. Këto të dhëna të mbledhura mund të përdoren për vjedhje identiteti, mashtrim financiar ose spiunazh korporativ. Për më tepër, malware mund të lehtësojë sulme të mëtejshme duke mundësuar instalimin e softuerit shtesë me qëllim të keq, duke përfshirë ransomware, i cili mund të kodojë skedarët kritikë dhe të kërkojë një shpërblim për lëshimin e tyre.
Së dyti, malware i pasme mund të komprometojë integritetin e sistemit dhe të prishë operacionet. Sulmuesit mund të manipulojnë ose fshijnë skedarë të rëndësishëm, të ngacmojnë konfigurimet e sistemit dhe të çaktivizojnë mjetet e sigurisë, duke çuar në ndërprerje operative dhe humbje të konsiderueshme financiare. Ky ndërprerje mund të jetë veçanërisht i dëmshëm për sektorët kritikë të infrastrukturës, si kujdesi shëndetësor, financat dhe energjia, ku ndërprerjet e sistemit mund të ndikojnë në sigurinë dhe shërbimet publike.
Për më tepër, malware i pasme shpesh lehtëson mbikëqyrjen dhe spiunazhin e fshehtë. Sulmuesit mund të monitorojnë aktivitetet e përdoruesve, të kapin tastierë dhe të aksesojnë burimet e kamerës së internetit pa dijeninë e viktimës, duke çuar në shkelje të privatësisë dhe informacionit konfidencial.
Si përmbledhje, një malware i prapambetur paraqet rreziqe serioze duke dëmtuar sigurinë e të dhënave, integritetin operacional dhe privatësinë. Aftësia e tij për të ofruar akses të vazhdueshëm dhe të paautorizuar e bën atë një kërcënim të fuqishëm që kërkon masa të forta sigurie dhe monitorim vigjilent për të zbutur ndikimin e tij.