Ирански хакери примењују Тицклер малвер у сајбер нападима са високим улозима
У забрињавајућем развоју глобалне сајбер безбедности, хакери које спонзорише иранска држава увели су нови прилагођени малвер, назван Тицклер , за инфилтрирање и прикупљање обавештајних података о критичној инфраструктури у Сједињеним Државама и Уједињеним Арапским Емиратима. Група која стоји иза ове софистициране кампање, коју Мицрософт прати као Пеацх Сандсторм — такође позната под разним другим псеудонима попут АПТ33 , Елфин и Рефинед Киттен — била је неумољива у потрази за вредним подацима из циљаних сектора.
Преглед садржаја
Нова претња у сајбер арени
Тицклер није само још један злонамерни софтвер; представља значајан скок у могућностима иранских алата за сајбер шпијунажу. Овај вишестепени бацкдоор је дизајниран да продре дубоко у компромитоване системе, омогућавајући нападачима да изврше низ злонамерних активности. Од прикупљања осетљивих системских информација до извршавања команди и манипулације датотекама, Тицклер служи као свестран алат за нападаче.
Циљање на критичне секторе
Примарни циљеви ове кампање укључују организације унутар сателитске, комуникационе, владине и нафтне и гасне индустрије — сектора који су кључни за националну безбедност и САД и УАЕ. Стратегија нападача је јасна: пореметити и прикупити обавештајне податке из сектора који играју кључну улогу у инфраструктури ових нација.
Упорна претња пешчане олује брескве
Пешчана олуја брескве је током година показала упорну претњу која се развија. Крајем 2023. године активности групе су се појачале, фокусирајући се на запослене у индустријској бази одбране САД. Њихов приступ није ограничен на техничке експлоатације; они су такође искористили друштвени инжењеринг, посебно преко ЛинкедИн-а, да прикупе обавештајне податке и спроведу своје подле планове.
Моћ друштвеног инжењеринга
ЛинкедИн се показао као вредна алатка за ове хакере, омогућавајући им да направе убедљиве нападе социјалног инжењеринга који маме њихове мете у лажни осећај сигурности. Манипулишући поверењем у оквиру професионалних мрежа, Пеацх Сандсторм ефикасно нарушава одбрану која би иначе остала безбедна.
Проширују свој арсенал
Поред употребе Тицклер-а , група је наставила да користи нападе спрејом лозинком, технику која има за циљ да компромитује више налога искоришћавањем слабих лозинки. Недавно су ови напади примећени у секторима одбране, свемира, образовања и владе широм САД и Аустралије.
Искористите Цлоуд инфраструктуру за штетне добитке
Један од најалармантнијих аспеката ове кампање је коришћење лажних Азуре претплата за операције командовања и контроле. Користећи легитимну инфраструктуру у облаку, хакери могу да сакрију своје активности и да браниоцима буде изазовније да открију и ублаже своје нападе.
Координисана сајбер офанзива
Тајминг Мајкрософтовог извештаја о Пеацх Сандсторм је вредан пажње, који се поклапа са Мандиант извештајем Гоогле Цлоуд-а о иранским контраобавештајним операцијама и саветом америчке владе о сајбер активностима које спонзорише иранска држава. Ово сугерише шире, координисане напоре иранских актера да прошире свој сајбер утицај и сарађују са групама за рансомваре како би појачали свој утицај.
Потреба за будношћу
Како ирански хакери настављају да развијају своје тактике, императив је да организације, посебно оне у критичним секторима, остану будне. Увођење Тицклер-а означава ново поглавље у сајбер шпијунажи, наглашавајући потребу за снажним мерама сајбер безбедности и међународном сарадњом у борби против ових растућих претњи.
Професионалци и организације за сајбер безбедност морају да буду испред овог развоја, обезбеђујући да су спремни да се бране од све софистициранијих напада актера које спонзорише држава као што је Пеацх Сандсторм .