Іранські хакери використовують зловмисне програмне забезпечення Tickler під час серйозних кібератак
У рамках тривожних подій для глобальної кібербезпеки іранські державні хакери представили нове спеціальне шкідливе програмне забезпечення під назвою Tickler для проникнення та збору розвідувальних даних про критичну інфраструктуру в Сполучених Штатах і Об’єднаних Арабських Еміратах. Група, що стоїть за цією складною кампанією, яку Microsoft відслідковує як Peach Sandstorm — також відома під іншими псевдонімами, такими як APT33 , Elfin і Refined Kitten — невпинно прагне отримати цінні дані з цільових секторів.
Зміст
Нова загроза на кіберарені
Tickler — це не просто ще одна шкідлива програма; це значний стрибок у можливостях іранських інструментів кібершпигунства. Цей багатоступінчастий бекдор розроблений для того, щоб глибоко проникати в скомпрометовані системи, дозволяючи зловмисникам виконувати низку зловмисних дій. Від збору конфіденційної системної інформації до виконання команд і маніпулювання файлами, Tickler є універсальним інструментом для зловмисників.
Націлювання на критичні сектори
Основними цілями цієї кампанії є організації супутникової, комунікаційної, урядової та нафтогазової промисловості — секторів, які мають вирішальне значення для національної безпеки як США, так і ОАЕ. Стратегія зловмисників зрозуміла: руйнувати та збирати розвідувальні дані з секторів, які відіграють ключову роль в інфраструктурах цих країн.
Постійна загроза персикової піщаної бурі
Персикова піщана буря протягом багатьох років демонструє постійну загрозу, яка розвивається. Наприкінці 2023 року діяльність групи активізувалася, зосередившись на співробітниках оборонно-промислової бази США. Їхній підхід не обмежується технічними експлойтами; вони також використовували соціальну інженерію, зокрема через LinkedIn, для збору інформації та здійснення своїх підлих планів.
Сила соціальної інженерії
LinkedIn виявився цінним інструментом для цих хакерів, дозволяючи їм створювати переконливі атаки соціальної інженерії, які заманюють їхні цілі в помилкове відчуття безпеки. Маніпулюючи довірою в професійних мережах, Peach Sandstorm ефективно зламує захист, який інакше залишався б безпечним.
Розширення арсеналу
На додаток до використання Tickler , група продовжувала використовувати атаки розпиленням паролів, техніку, спрямовану на компрометацію кількох облікових записів шляхом використання слабких паролів. Останнім часом ці атаки спостерігалися в оборонному, космічному, освітньому та урядовому секторах США та Австралії.
Використання хмарної інфраструктури для шкідливих здобутків
Одним із найбільш тривожних аспектів цієї кампанії є використання шахрайських підписок Azure для командно-контрольних операцій. Використовуючи законну хмарну інфраструктуру, хакери можуть приховати свою діяльність і ускладнити захисникам виявлення та пом’якшення їхніх атак.
Скоординований кібернаступ
Заслуговує на увагу час публікації звіту Microsoft про Peach Sandstorm , який збігся зі звітом Google Cloud Mandiant про операції іранської контррозвідки та консультацією уряду США щодо кіберактивності Ірану, яка фінансується державою. Це свідчить про більш широкі, скоординовані зусилля іранських акторів для розширення свого кібервпливу та співпраці з групами програм-вимагачів для посилення їхнього впливу.
Потреба в пильності
Оскільки іранські хакери продовжують розвивати свою тактику, організаціям, особливо тим, які працюють у критичних секторах, вкрай необхідно залишатися пильними. Представлення Tickler знаменує нову главу в кібершпигунстві, підкреслюючи необхідність надійних заходів кібербезпеки та міжнародного співробітництва для боротьби з цими зростаючими загрозами.
Фахівці та організації з кібербезпеки повинні випереджати ці події, гарантуючи, що вони готові захищатися від дедалі складніших атак з боку спонсорованих державою акторів, таких як Peach Sandstorm .