Tickler Malware
En iransk statssponsrad hotaktör har använt en nyutvecklad anpassad bakdörr i attacker mot organisationer i USA och Förenade Arabemiraten. Hackargruppen APT33 , även känd som Peach Sandstorm och Refined Kitten, har distribuerat tidigare okänd skadlig programvara, nu spårad som Tickler, för att äventyra nätverk av organisationer inom regerings-, försvars-, satellit-, olje- och gassektorerna. Enligt forskare använde denna grupp, som verkar under den iranska islamiska revolutionsgardet (IRGC), skadlig programvara i en underrättelseinsamlingskampanj mellan april och juli 2024. Under dessa attacker använde hackarna Microsoft Azure-infrastruktur för Command-and- Kontroll (C2)-operationer, beroende på bedrägliga Azure-prenumerationer som sedan dess har avbrutits av företaget.
Innehållsförteckning
Avgörande sektorer inriktade på attackoperationen
Mellan april och maj 2024 riktade APT33 sig mot organisationer inom försvars-, rymd-, utbildnings- och regeringssektorerna genom framgångsrika lösenordssprayattacker. Dessa attacker involverade försök att komma åt flera konton med en begränsad uppsättning vanliga lösenord för att undvika att utlösa kontolås.
Även om lösenordssprayaktiviteten observerades i olika sektorer, noterade forskare att Peach Sandstorm specifikt utnyttjade komprometterade användarkonton inom utbildningssektorn för att etablera sin operativa infrastruktur. Hotaktörerna fick antingen åtkomst till befintliga Azure-prenumerationer eller skapade nya med hjälp av de utsatta kontona för att vara värd för sin infrastruktur. Denna Azure-infrastruktur användes sedan i ytterligare operationer riktade mot regerings-, försvars- och rymdsektorerna.
Under det senaste året har Peach Sandstorm framgångsrikt infiltrerat flera organisationer inom dessa sektorer genom att använda specialutvecklade verktyg.
Tickler Malware sätter scenen för ytterligare hot om skadlig programvara
Tickler identifieras som en anpassad bakdörr i flera steg som gör att angripare kan installera ytterligare skadlig programvara på komprometterade system. Enligt Microsoft kan skadliga nyttolaster kopplade till Tickler samla systeminformation, utföra kommandon, ta bort filer och ladda ner eller ladda upp filer till och från en Command and Control (C&C)-server.
Tidigare APT33 cyberbrottskampanjer
I november 2023 använde den iranska hotgruppen en liknande taktik för att bryta mot nätverken av försvarsentreprenörer globalt och distribuerade FalseFont bakdörr skadlig kod. Ett par månader tidigare hade forskare utfärdat en varning om en annan APT33-kampanj som hade riktats mot tusentals organisationer över hela världen genom omfattande lösenordssprayattacker sedan februari 2023, vilket resulterat i intrång inom försvars-, satellit- och läkemedelssektorn.
För att förbättra säkerheten mot nätfiske och kontokapning meddelade Microsoft att från och med den 15 oktober skulle multifaktorautentisering (MFA) bli obligatoriskt för alla Azure-inloggningsförsök.
En bakdörr skadlig programvara kan leda till allvarliga konsekvenser för offer
En bakdörr skadlig programvara utgör betydande risker för både enskilda användare och organisationer genom att ge obehörig åtkomst till komprometterade system. När den väl har installerats skapar bakdörr skadlig kod dolda ingångspunkter som gör att angripare kan kringgå traditionella säkerhetsåtgärder och få kontroll över ett offers nätverk. Denna förhöjda tillgång kan leda till en rad allvarliga konsekvenser.
För det första, bakdörr skadlig programvara gör det möjligt för angripare att samla in känslig information, inklusive personuppgifter, finansiella register och immateriella rättigheter. Dessa insamlade uppgifter kan användas för identitetsstöld, ekonomiskt bedrägeri eller företagsspionage. Dessutom kan skadlig programvara underlätta ytterligare attacker genom att möjliggöra installation av ytterligare skadlig programvara, inklusive ransomware, som kan kryptera kritiska filer och kräva en lösensumma för att de ska släppas.
För det andra kan bakdörr skadlig kod äventyra systemets integritet och störa verksamheten. Angripare kan manipulera eller ta bort viktiga filer, manipulera systemkonfigurationer och inaktivera säkerhetsverktyg, vilket leder till driftstopp och betydande ekonomiska förluster. Denna störning kan vara särskilt skadlig för kritiska infrastruktursektorer, såsom sjukvård, finans och energi, där systemavbrott kan påverka allmän säkerhet och tjänster.
Dessutom underlättar bakdörr malware ofta hemlig övervakning och spionage. Angripare kan övervaka användaraktiviteter, fånga tangenttryckningar och få tillgång till webbkameraflöden utan offrets vetskap, vilket leder till integritetsintrång och konfidentiell information.
Sammanfattningsvis innebär en bakdörr skadlig programvara allvarliga risker genom att undergräva datasäkerhet, operativ integritet och integritet. Dess förmåga att tillhandahålla beständig, obehörig åtkomst gör det till ett potent hot som kräver robusta säkerhetsåtgärder och vaksam övervakning för att mildra dess påverkan.