มัลแวร์ Tickler
ผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านได้ใช้แบ็คดอร์ที่พัฒนาขึ้นใหม่ในการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาและสหรัฐอาหรับเอมิเรตส์ กลุ่มแฮกเกอร์ APT33 หรือที่รู้จักกันในชื่อ Peach Sandstorm และ Refined Kitten ได้ใช้มัลแวร์ที่ไม่เคยรู้จักมาก่อน ซึ่งปัจจุบันติดตามได้ภายใต้ชื่อ Tickler เพื่อเจาะระบบเครือข่ายขององค์กรต่างๆ ในภาครัฐ กลาโหม ดาวเทียม น้ำมันและก๊าซ ตามรายงานของนักวิจัย กลุ่มดังกล่าวซึ่งปฏิบัติการภายใต้กองกำลังพิทักษ์การปฏิวัติอิสลามแห่งอิหร่าน (IRGC) ใช้มัลแวร์ดังกล่าวในแคมเปญรวบรวมข่าวกรองระหว่างเดือนเมษายนถึงกรกฎาคม 2024 ระหว่างการโจมตีเหล่านี้ แฮกเกอร์ใช้โครงสร้างพื้นฐานของ Microsoft Azure สำหรับปฏิบัติการสั่งการและควบคุม (C2) โดยอาศัยการสมัครใช้งาน Azure ปลอมซึ่งถูกบริษัทได้ดำเนินการระงับไปแล้ว
สารบัญ
ภาคส่วนสำคัญที่ถูกโจมตี
ระหว่างเดือนเมษายนถึงพฤษภาคม 2024 APT33 ได้กำหนดเป้าหมายองค์กรในภาคการป้องกันประเทศ อวกาศ การศึกษา และภาครัฐผ่านการโจมตีแบบพาสเวิร์ดสเปรย์ที่ประสบความสำเร็จ การโจมตีเหล่านี้เกี่ยวข้องกับการพยายามเข้าถึงบัญชีหลายบัญชีโดยใช้ชุดรหัสผ่านที่ใช้กันทั่วไปจำนวนจำกัดเพื่อหลีกเลี่ยงการล็อกบัญชี
แม้ว่าจะพบกิจกรรมการสเปรย์รหัสผ่านในหลายภาคส่วน แต่ผู้วิจัยสังเกตว่า Peach Sandstorm ใช้ประโยชน์จากบัญชีผู้ใช้ที่ถูกบุกรุกในภาคการศึกษาโดยเฉพาะเพื่อสร้างโครงสร้างพื้นฐานด้านปฏิบัติการ ผู้ก่อภัยคุกคามเข้าถึงการสมัครใช้งาน Azure ที่มีอยู่หรือสร้างการสมัครใช้งานใหม่โดยใช้บัญชีที่ถูกบุกรุกเพื่อโฮสต์โครงสร้างพื้นฐาน จากนั้นโครงสร้างพื้นฐาน Azure นี้จะนำไปใช้ในการดำเนินการเพิ่มเติมโดยกำหนดเป้าหมายไปที่ภาครัฐ กลาโหม และภาคอวกาศ
ในช่วงปีที่ผ่านมา Peach Sandstorm ประสบความสำเร็จในการแทรกซึมองค์กรต่างๆ หลายแห่งภายในภาคส่วนเหล่านี้โดยใช้เครื่องมือที่พัฒนาขึ้นเอง
มัลแวร์ Tickler เตรียมการสำหรับภัยคุกคามจากมัลแวร์เพิ่มเติม
Tickler ถูกระบุว่าเป็นแบ็คดอร์หลายขั้นตอนที่กำหนดเองซึ่งช่วยให้ผู้โจมตีสามารถติดตั้งมัลแวร์เพิ่มเติมบนระบบที่ถูกบุกรุกได้ ตามข้อมูลของ Microsoft เพย์โหลดที่เป็นอันตรายที่เชื่อมโยงกับ Tickler สามารถรวบรวมข้อมูลระบบ ดำเนินการคำสั่ง ลบไฟล์ และดาวน์โหลดหรืออัปโหลดไฟล์ไปยังและจากเซิร์ฟเวอร์ Command and Control (C&C)
แคมเปญ APT33 Cybercrime ก่อนหน้านี้
ในเดือนพฤศจิกายน 2023 กลุ่มภัยคุกคามจากอิหร่านใช้กลวิธีที่คล้ายคลึงกันในการเจาะเครือข่ายของผู้รับจ้างด้านการป้องกันประเทศทั่วโลก โดยใช้มัลแวร์แบ็คดอร์ FalseFont สองสามเดือนก่อนหน้านี้ นักวิจัยได้ออกคำเตือนเกี่ยวกับแคมเปญ APT33 อีกแคมเปญหนึ่งที่กำหนดเป้าหมายองค์กรหลายพันแห่งทั่วโลกผ่านการโจมตีแบบสเปรย์รหัสผ่านอย่างกว้างขวางตั้งแต่เดือนกุมภาพันธ์ 2023 ส่งผลให้เกิดการละเมิดภายในภาคการป้องกันประเทศ ดาวเทียม และเภสัชกรรม
เพื่อเพิ่มความปลอดภัยในการป้องกันการฟิชชิ่งและการแฮ็กบัญชี Microsoft ได้ประกาศว่าตั้งแต่วันที่ 15 ตุลาคม การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) จะกลายเป็นระบบบังคับสำหรับความพยายามลงชื่อเข้าใช้ Azure ทั้งหมด
มัลแวร์แบ็คดอร์อาจก่อให้เกิดผลร้ายแรงต่อเหยื่อ
มัลแวร์แบ็กดอร์ก่อให้เกิดความเสี่ยงอย่างมากต่อทั้งผู้ใช้รายบุคคลและองค์กรโดยให้สิทธิ์เข้าถึงระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาต เมื่อติดตั้งแล้ว มัลแวร์แบ็กดอร์จะสร้างจุดเข้าที่ซ่อนอยู่ซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบเดิมและเข้าควบคุมเครือข่ายของเหยื่อได้ การเข้าถึงที่มากเกินไปนี้อาจนำไปสู่ผลที่ร้ายแรงหลายประการ
ประการแรก มัลแวร์แบ็คดอร์ทำให้ผู้โจมตีสามารถรวบรวมข้อมูลที่ละเอียดอ่อนได้ รวมถึงข้อมูลส่วนบุคคล บันทึกทางการเงิน และทรัพย์สินทางปัญญา ข้อมูลที่รวบรวมได้นี้สามารถนำไปใช้ในการขโมยข้อมูลประจำตัว การฉ้อโกงทางการเงิน หรือการจารกรรมองค์กร นอกจากนี้ มัลแวร์ยังสามารถอำนวยความสะดวกในการโจมตีเพิ่มเติมได้ด้วยการอนุญาตให้ติดตั้งซอฟต์แวร์ที่เป็นอันตรายเพิ่มเติม รวมถึงแรนซัมแวร์ ซึ่งสามารถเข้ารหัสไฟล์สำคัญและเรียกค่าไถ่สำหรับการปล่อยไฟล์เหล่านั้น
ประการที่สอง มัลแวร์แบ็คดอร์สามารถทำลายความสมบูรณ์ของระบบและขัดขวางการทำงาน ผู้โจมตีสามารถจัดการหรือลบไฟล์สำคัญ แทรกแซงการกำหนดค่าระบบ และปิดใช้งานเครื่องมือรักษาความปลอดภัย ส่งผลให้ระบบหยุดทำงานและสูญเสียทางการเงินจำนวนมาก การหยุดชะงักนี้อาจสร้างความเสียหายโดยเฉพาะต่อภาคส่วนโครงสร้างพื้นฐานที่สำคัญ เช่น การดูแลสุขภาพ การเงิน และพลังงาน ซึ่งการหยุดทำงานของระบบอาจส่งผลกระทบต่อความปลอดภัยและบริการสาธารณะ
นอกจากนี้ มัลแวร์แบ็คดอร์ยังช่วยให้สามารถติดตามและจารกรรมข้อมูลลับๆ ได้อีกด้วย ผู้โจมตีสามารถติดตามกิจกรรมของผู้ใช้ จับภาพการกดแป้นพิมพ์ และเข้าถึงฟีดเว็บแคมโดยที่เหยื่อไม่รู้ตัว ส่งผลให้ความเป็นส่วนตัวและข้อมูลที่เป็นความลับถูกละเมิด
โดยสรุป มัลแวร์แบ็คดอร์ก่อให้เกิดความเสี่ยงร้ายแรงโดยทำลายความปลอดภัยของข้อมูล ความสมบูรณ์ของการทำงาน และความเป็นส่วนตัว ความสามารถในการเข้าถึงโดยไม่ได้รับอนุญาตอย่างต่อเนื่องทำให้เป็นภัยคุกคามที่ร้ายแรงซึ่งต้องมีมาตรการรักษาความปลอดภัยที่เข้มงวดและการเฝ้าระวังอย่างเข้มงวดเพื่อลดผลกระทบ