แฮกเกอร์ชาวอิหร่านใช้มัลแวร์ Tickler ในการโจมตีทางไซเบอร์ที่มีความรุนแรงสูง

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์

แปลเป็น:

ในการพัฒนาที่น่ากังวลด้านความปลอดภัยทางไซเบอร์ระดับโลก แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านได้เปิดตัวมัลแวร์แบบกำหนดเองใหม่ที่เรียกว่า Tickler เพื่อแทรกซึมและรวบรวมข้อมูลข่าวกรองเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาและสหรัฐอาหรับเอมิเรตส์ กลุ่มที่อยู่เบื้องหลังแคมเปญอันซับซ้อนนี้ ซึ่งติดตามโดย Microsoft ในชื่อ Peach Sandstorm หรือที่รู้จักในชื่ออื่นๆ เช่น APT33 , Elfin และ Refined Kitten ได้ดำเนินการอย่างไม่ลดละในการแสวงหาข้อมูลอันมีค่าจากกลุ่มเป้าหมาย

สารบัญ

ภัยคุกคามใหม่ในสังเวียนไซเบอร์

Tickler ไม่ใช่แค่มัลแวร์ธรรมดาทั่วไป แต่ยังเป็นก้าวกระโดดครั้งสำคัญในความสามารถของเครื่องมือจารกรรมทางไซเบอร์ของอิหร่านอีกด้วย แบ็กดอร์หลายขั้นตอนนี้ได้รับการออกแบบมาเพื่อเจาะลึกเข้าไปในระบบที่ถูกบุกรุก ทำให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายต่างๆ ได้มากมาย ตั้งแต่การรวบรวมข้อมูลระบบที่ละเอียดอ่อนไปจนถึงการสั่งการและจัดการไฟล์ Tickler ทำหน้าที่เป็นเครื่องมืออเนกประสงค์สำหรับผู้โจมตี

การกำหนดเป้าหมายภาคส่วนที่สำคัญ

เป้าหมายหลักของแคมเปญนี้ได้แก่ องค์กรต่างๆ ในอุตสาหกรรมดาวเทียม การสื่อสาร รัฐบาล และน้ำมันและก๊าซ ซึ่งเป็นภาคส่วนที่สำคัญต่อความมั่นคงของชาติทั้งในสหรัฐอเมริกาและสหรัฐอาหรับเอมิเรตส์ กลยุทธ์ของผู้โจมตีชัดเจน นั่นคือ ทำลายและรวบรวมข่าวกรองจากภาคส่วนที่มีบทบาทสำคัญในโครงสร้างพื้นฐานของประเทศเหล่านี้

ภัยคุกคามที่คงอยู่ของพายุทรายพีช

Peach Sandstorm ได้แสดงให้เห็นถึงภัยคุกคามที่ต่อเนื่องและเปลี่ยนแปลงตลอดเวลาในช่วงหลายปีที่ผ่านมา ในช่วงปลายปี 2023 กิจกรรมของกลุ่มได้เพิ่มขึ้น โดยมุ่งเน้นไปที่พนักงานภายในฐานอุตสาหกรรมการป้องกันประเทศของสหรัฐฯ แนวทางของพวกเขาไม่ได้จำกัดอยู่แค่การแสวงหาประโยชน์ทางเทคนิคเท่านั้น แต่ยังใช้ประโยชน์จากวิศวกรรมทางสังคม โดยเฉพาะอย่างยิ่งผ่าน LinkedIn เพื่อรวบรวมข่าวกรองและดำเนินแผนการชั่วร้ายของพวกเขา

พลังของวิศวกรรมสังคม

LinkedIn ได้รับการพิสูจน์แล้วว่าเป็นเครื่องมือที่มีค่าสำหรับแฮกเกอร์เหล่านี้ โดยทำให้พวกเขาสามารถสร้างการโจมตีทางวิศวกรรมสังคมที่น่าเชื่อถือเพื่อหลอกล่อเป้าหมายให้รู้สึกปลอดภัยอย่างผิดๆ Peach Sandstorm สามารถเจาะระบบป้องกันที่ปกติแล้วจะปลอดภัยอยู่แล้วได้อย่างมีประสิทธิภาพ โดยการใช้ความไว้วางใจภายในเครือข่ายมืออาชีพ

การขยายคลังอาวุธของพวกเขา

นอกจากการใช้ Tickler แล้ว กลุ่มดังกล่าวยังใช้การโจมตีแบบ Password Spray ซึ่งเป็นเทคนิคที่มุ่งเป้าไปที่การเจาะข้อมูลบัญชีหลายบัญชีโดยใช้รหัสผ่านที่อ่อนแอ เมื่อไม่นานนี้ การโจมตีประเภทนี้พบเห็นในหน่วยงานด้านการป้องกันประเทศ อวกาศ การศึกษา และรัฐบาลทั่วสหรัฐอเมริกาและออสเตรเลีย

การใช้ประโยชน์จากโครงสร้างพื้นฐานคลาวด์เพื่อผลประโยชน์อันเลวร้าย

ด้านที่น่าตกใจที่สุดประการหนึ่งของแคมเปญนี้คือการใช้การสมัครใช้งาน Azure ปลอมเพื่อสั่งการและควบคุม โดยการใช้โครงสร้างพื้นฐานคลาวด์ที่ถูกต้อง แฮกเกอร์สามารถซ่อนกิจกรรมของตนและทำให้ผู้ป้องกันตรวจจับและลดการโจมตีได้ยากขึ้น

การรุกทางไซเบอร์แบบประสานงาน

รายงานของ Microsoft เกี่ยวกับ Peach Sandstorm นั้น น่าสนใจมาก โดยสอดคล้องกับรายงาน Mandiant ของ Google Cloud เกี่ยวกับปฏิบัติการต่อต้านข่าวกรองของอิหร่าน และคำแนะนำของรัฐบาลสหรัฐฯ เกี่ยวกับกิจกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งแสดงให้เห็นถึงความพยายามร่วมกันที่กว้างขึ้นของผู้ที่มีส่วนเกี่ยวข้องในอิหร่านในการขยายอิทธิพลทางไซเบอร์และร่วมมือกับกลุ่มแรนซัมแวร์เพื่อขยายผลกระทบ

ความจำเป็นในการเฝ้าระวัง

เนื่องจากแฮกเกอร์ชาวอิหร่านยังคงพัฒนากลวิธีของตนอย่างต่อเนื่อง จึงมีความจำเป็นที่องค์กรต่างๆ โดยเฉพาะในภาคส่วนที่สำคัญจะต้องเฝ้าระวัง การนำ Tickler มาใช้ถือเป็นบทใหม่ของการจารกรรมทางไซเบอร์ ซึ่งเน้นย้ำถึงความจำเป็นในการมีมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งและความร่วมมือระหว่างประเทศเพื่อต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้นเหล่านี้

ผู้เชี่ยวชาญและองค์กรด้านความปลอดภัยทางไซเบอร์ต้องก้าวล้ำหน้าการพัฒนาเหล่านี้ โดยต้องแน่ใจว่าพวกเขาพร้อมที่จะป้องกันการโจมตีที่ซับซ้อนมากขึ้นจากผู้ที่ได้รับการสนับสนุนจากรัฐเช่น Peach Sandstorm

SpyHunter สำหรับ Windows ของ EnigmaSoft ได้รับการรับรอง AV-TEST

ค้นหา

เปลี่ยนภูมิภาค