Tickler Malware
Gumagamit ng bagong binuong custom na backdoor ang isang Iranian state-sponsored threat actor sa mga pag-atake na nagta-target sa mga organisasyon sa United States at United Arab Emirates. Ang hacking group na APT33 , na kilala rin bilang Peach Sandstorm at Refined Kitten, ay nag-deploy ng dati nang hindi kilalang malware, na sinusubaybayan ngayon bilang Tickler, upang ikompromiso ang mga network ng mga organisasyon sa sektor ng gobyerno, depensa, satellite, langis at gas. Ayon sa mga mananaliksik, ang grupong ito, na nagpapatakbo sa ilalim ng Iranian Islamic Revolutionary Guard Corps (IRGC), ay gumamit ng malware sa isang intelligence-gathering campaign sa pagitan ng Abril at Hulyo 2024. Sa mga pag-atakeng ito, ginamit ng mga hacker ang imprastraktura ng Microsoft Azure para sa Command-and- Control (C2) operations, na umaasa sa mapanlinlang na Azure subscription na mula noon ay ginulo ng kumpanya.
Talaan ng mga Nilalaman
Mga Mahalagang Sektor na Tinatarget ng Attack Operation
Sa pagitan ng Abril at Mayo 2024, tina-target ng APT33 ang mga organisasyon sa mga sektor ng depensa, espasyo, edukasyon, at pamahalaan sa pamamagitan ng matagumpay na pag-atake ng pag-spray ng password. Kasama sa mga pag-atakeng ito ang pagtatangkang mag-access ng maraming account gamit ang limitadong hanay ng mga karaniwang ginagamit na password upang maiwasan ang pag-trigger ng mga lockout ng account.
Bagama't naobserbahan ang aktibidad ng pag-spray ng password sa iba't ibang sektor, nabanggit ng mga mananaliksik na partikular na sinamantala ng Peach Sandstorm ang mga nakompromisong user account sa sektor ng edukasyon upang maitatag ang kanilang imprastraktura sa pagpapatakbo. Maaaring na-access ng mga banta ng aktor ang mga kasalukuyang subscription sa Azure o gumawa ng mga bago gamit ang mga nakompromisong account upang i-host ang kanilang imprastraktura. Ang imprastraktura ng Azure na ito ay ginamit noon sa mga karagdagang operasyon na nagta-target sa sektor ng gobyerno, depensa at espasyo.
Sa nakalipas na taon, matagumpay na napasok ng Peach Sandstorm ang ilang organisasyon sa loob ng mga sektor na ito sa pamamagitan ng paggamit ng mga custom-developed na tool.
Itinatakda ng Tickler Malware ang Yugto para sa Mga Karagdagang Banta sa Malware
Natukoy ang Tickler bilang isang custom, multi-stage na backdoor na nagbibigay-daan sa mga umaatake na mag-install ng karagdagang malware sa mga nakompromisong system. Ayon sa Microsoft, ang mga nakakahamak na payload na naka-link sa Tickler ay maaaring mangalap ng impormasyon ng system, magsagawa ng mga command, magtanggal ng mga file, at mag-download o mag-upload ng mga file papunta at mula sa isang Command and Control (C&C) server.
Mga nakaraang APT33 Cybercrime Campaign
Noong Nobyembre 2023, gumamit ang Iranian threat group ng katulad na taktika para labagin ang mga network ng mga defense contractor sa buong mundo, na nagde-deploy ng FalseFont backdoor malware. Ilang buwan bago ito, naglabas ang mga mananaliksik ng babala tungkol sa isa pang kampanya ng APT33 na nagta-target sa libu-libong organisasyon sa buong mundo sa pamamagitan ng malawakang pag-atake ng pag-spray ng password mula noong Pebrero 2023, na nagreresulta sa mga paglabag sa loob ng sektor ng depensa, satellite at parmasyutiko.
Upang mapahusay ang seguridad laban sa phishing at pag-hijack ng account, inanunsyo ng Microsoft na simula sa Oktubre 15, magiging mandatory ang multi-factor authentication (MFA) para sa lahat ng pagtatangka sa pag-sign in sa Azure.
Ang Backdoor Malware ay Maaaring Magdulot ng Matinding Bunga para sa mga Biktima
Ang backdoor malware ay nagdudulot ng malalaking panganib sa parehong mga indibidwal na user at organisasyon sa pamamagitan ng pagbibigay ng hindi awtorisadong access sa mga nakompromisong system. Kapag na-install na, lumilikha ang backdoor malware ng mga nakatagong entry point na nagbibigay-daan sa mga umaatake na lampasan ang mga tradisyunal na hakbang sa seguridad at makakuha ng kontrol sa network ng biktima. Ang mataas na access na ito ay maaaring humantong sa isang hanay ng mga malubhang kahihinatnan.
Una, ang backdoor malware ay nagbibigay-daan sa mga umaatake na kumuha ng sensitibong impormasyon, kabilang ang personal na data, mga rekord sa pananalapi, at intelektwal na ari-arian. Ang nakolektang data na ito ay maaaring gamitin para sa pagnanakaw ng pagkakakilanlan, pandaraya sa pananalapi o pang-espiya ng kumpanya. Bukod pa rito, maaaring mapadali ng malware ang mga karagdagang pag-atake sa pamamagitan ng pagpapagana sa pag-install ng karagdagang malisyosong software, kabilang ang ransomware, na maaaring mag-encrypt ng mga kritikal na file at humingi ng ransom para sa kanilang paglabas.
Pangalawa, ang backdoor malware ay maaaring makompromiso ang integridad ng system at makagambala sa mga operasyon. Maaaring manipulahin o tanggalin ng mga attacker ang mahahalagang file, pakialaman ang mga configuration ng system, at i-disable ang mga tool sa seguridad, na humahantong sa operational downtime at malaking pagkalugi sa pananalapi. Ang pagkagambalang ito ay maaaring maging partikular na nakakapinsala para sa mga kritikal na sektor ng imprastraktura, tulad ng pangangalagang pangkalusugan, pananalapi, at enerhiya, kung saan ang pagkawala ng sistema ay maaaring makaapekto sa kaligtasan at mga serbisyo ng publiko.
Bukod dito, madalas na pinapadali ng backdoor malware ang lihim na pagsubaybay at espiya. Maaaring subaybayan ng mga umaatake ang mga aktibidad ng user, kunin ang mga keystroke, at i-access ang mga webcam feed nang hindi nalalaman ng biktima, na humahantong sa mga paglabag sa privacy at kumpidensyal na impormasyon.
Sa buod, ang isang backdoor malware ay nagpapakita ng mga seryosong panganib sa pamamagitan ng pagsira sa seguridad ng data, integridad ng pagpapatakbo at privacy. Ang kakayahang magbigay ng patuloy, hindi awtorisadong pag-access ay ginagawa itong isang malakas na banta na nangangailangan ng matatag na mga hakbang sa seguridad at mapagbantay na pagsubaybay upang mabawasan ang epekto nito.