Ang mga Iranian Hacker ay Nag-deploy ng Tickler Malware sa High-Stakes Cyber Attacks
Sa isang nauugnay na pag-unlad para sa pandaigdigang cybersecurity, ang mga hacker na inisponsor ng estado ng Iran ay nagpakilala ng isang bagong custom na malware, na tinatawag na Tickler , upang makalusot at mangalap ng katalinuhan sa mga kritikal na imprastraktura sa United States at United Arab Emirates. Ang grupo sa likod ng sopistikadong kampanyang ito, na sinusubaybayan ng Microsoft bilang Peach Sandstorm —na kilala rin sa iba't ibang alyas tulad ng APT33 , Elfin, at Refined Kitten—ay walang humpay sa paghahangad ng mahalagang data mula sa mga target na sektor.
Talaan ng mga Nilalaman
Isang Bagong Banta sa Cyber Arena
Ang Tickler ay hindi lamang isa pang piraso ng malware; ito ay kumakatawan sa isang makabuluhang hakbang sa mga kakayahan ng Iranian cyber espionage tool. Ang multi-stage na backdoor na ito ay idinisenyo upang mabaon nang malalim sa mga nakompromisong system, na nagpapahintulot sa mga umaatake na magsagawa ng isang hanay ng mga malisyosong aktibidad. Mula sa pagkolekta ng sensitibong impormasyon ng system hanggang sa pagpapatupad ng mga utos at pagmamanipula ng mga file, ang Tickler ay nagsisilbing maraming gamit na tool para sa mga umaatake.
Pag-target sa mga Kritikal na Sektor
Kabilang sa mga pangunahing target ng kampanyang ito ang mga organisasyon sa loob ng satellite, komunikasyon, gobyerno, at industriya ng langis at gas—mga sektor na kritikal sa pambansang seguridad ng parehong US at UAE. Malinaw ang diskarte ng mga umaatake: guluhin at mangalap ng katalinuhan mula sa mga sektor na may mahalagang papel sa mga imprastraktura ng mga bansang ito.
Ang Patuloy na Banta ng Peach Sandstorm
Ang Peach Sandstorm ay nagpakita ng patuloy at umuusbong na banta sa paglipas ng mga taon. Noong huling bahagi ng 2023, umakyat ang mga aktibidad ng grupo, na nakatuon sa mga empleyado sa loob ng baseng industriyal ng depensa ng US. Ang kanilang diskarte ay hindi limitado sa mga teknikal na pagsasamantala; ginamit din nila ang social engineering, lalo na sa pamamagitan ng LinkedIn, upang mangalap ng katalinuhan at maisakatuparan ang kanilang masasamang plano.
Ang Kapangyarihan ng Social Engineering
Napatunayan na ang LinkedIn ay isang mahalagang tool para sa mga hacker na ito, na nagbibigay-daan sa kanila na gumawa ng nakakumbinsi na mga pag-atake sa social engineering na umaakit sa kanilang mga target sa isang maling pakiramdam ng seguridad. Sa pamamagitan ng pagmamanipula ng tiwala sa loob ng mga propesyonal na network, epektibong nilalabag ng Peach Sandstorm ang mga depensa na kung hindi man ay mananatiling ligtas.
Pagpapalawak ng Kanilang Arsenal
Bilang karagdagan sa kanilang paggamit ng Tickler , ang grupo ay patuloy na gumagamit ng mga pag-atake sa pag-spray ng password, isang pamamaraan na naglalayong ikompromiso ang maraming account sa pamamagitan ng pagsasamantala sa mahihinang password. Kamakailan, ang mga pag-atakeng ito ay naobserbahan sa mga sektor ng depensa, espasyo, edukasyon, at gobyerno sa buong US at Australia.
Paggamit ng Cloud Infrastructure para sa Mapanganib na Mga Nadagdag
Ang isa sa mga pinakanakaaalarma na aspeto ng kampanyang ito ay ang paggamit ng mga mapanlinlang na suskrisyon sa Azure para sa mga operasyong command-and-control. Sa pamamagitan ng paggamit ng lehitimong imprastraktura ng ulap, maaaring itago ng mga hacker ang kanilang mga aktibidad at gawing mas mahirap para sa mga tagapagtanggol na makita at mapagaan ang kanilang mga pag-atake.
Isang Coordinated Cyber Offensive
Kapansin-pansin ang timing ng ulat ng Microsoft sa Peach Sandstorm , kasabay ng ulat ng Mandiant ng Google Cloud sa mga operasyong kontra-intelligence ng Iran at isang advisory ng gobyerno ng US sa mga aktibidad sa cyber na inisponsor ng estado ng Iran. Iminumungkahi nito ang isang mas malawak, pinagsama-samang pagsisikap ng mga aktor ng Iran na palawakin ang kanilang impluwensya sa cyber at makipagtulungan sa mga grupo ng ransomware upang palakasin ang kanilang epekto.
Ang Pangangailangan ng Pagpupuyat
Habang patuloy na binabago ng mga hacker ng Iran ang kanilang mga taktika, kinakailangan para sa mga organisasyon, lalo na sa mga kritikal na sektor, na manatiling mapagbantay. Ang pagpapakilala ng Tickler ay nagmamarka ng isang bagong kabanata sa cyber espionage, na binibigyang-diin ang pangangailangan para sa matatag na mga hakbang sa cybersecurity at internasyonal na pakikipagtulungan upang labanan ang lumalaking mga banta na ito.
Ang mga propesyonal at organisasyon ng cybersecurity ay dapat manatiling nangunguna sa mga pag-unlad na ito, na tinitiyak na handa silang ipagtanggol laban sa mga lalong sopistikadong pag-atake mula sa mga aktor na inisponsor ng estado tulad ng Peach Sandstorm .