Шкідлива програма Tickler

Спонсорований державою іранський суб’єкт загрози використовує нещодавно розроблений спеціальний бекдор для атак на організації в Сполучених Штатах і Об’єднаних Арабських Еміратах. Хакерська група APT33 , також відома як Peach Sandstorm і Refined Kitten, розгорнула раніше невідоме зловмисне програмне забезпечення, яке тепер відстежується як Tickler, щоб скомпрометувати мережі організацій в урядовому, оборонному, супутниковому, нафтовому та газовому секторах. За словами дослідників, ця група, яка діє під керівництвом Іранського Корпусу вартових Ісламської революції (IRGC), використовувала зловмисне програмне забезпечення в кампанії зі збору розвідувальних даних у період з квітня по липень 2024 року. Під час цих атак хакери використовували інфраструктуру Microsoft Azure для Command-and- Контроль (C2) операцій, покладаючись на шахрайські підписки Azure, які з тих пір були порушені компанією.

Найважливіші сектори, на які спрямована атака

У період з квітня по травень 2024 року APT33 був націлений на організації в оборонному, космічному, освітньому та державному секторах за допомогою успішних атак із розпиленням пароля. Ці атаки передбачали спроби отримати доступ до кількох облікових записів за допомогою обмеженого набору часто використовуваних паролів, щоб уникнути блокування облікових записів.

Хоча активність розпилення паролів спостерігалася в різних секторах, дослідники відзначили, що Peach Sandstorm спеціально використовував скомпрометовані облікові записи користувачів у секторі освіти для створення своєї операційної інфраструктури. Зловмисники або отримували доступ до існуючих підписок Azure, або створювали нові, використовуючи скомпрометовані облікові записи для розміщення своєї інфраструктури. Потім цю інфраструктуру Azure використовували в подальших операціях, спрямованих на урядовий, оборонний і космічний сектори.

За минулий рік Peach Sandstorm успішно проникла в кілька організацій у цих секторах за допомогою спеціально розроблених інструментів.

Зловмисне програмне забезпечення Tickler створює основу для додаткових загроз зловмисного програмного забезпечення

Tickler ідентифікується як спеціальний багатоетапний бекдор, який дозволяє зловмисникам встановлювати додаткові шкідливі програми на скомпрометовані системи. За словами Microsoft, зловмисне корисне навантаження, пов’язане з Tickler, може збирати системну інформацію, виконувати команди, видаляти файли та завантажувати або завантажувати файли на сервер командування та керування (C&C).

Попередні кампанії проти кіберзлочинності APT33

У листопаді 2023 року іранська група загроз застосувала подібну тактику, щоб зламати мережі оборонних підрядників у всьому світі, розгорнувши бекдор-зловмисне програмне забезпечення FalseFont. Кілька місяців тому дослідники випустили попередження про іншу кампанію APT33, яка з лютого 2023 року була націлена на тисячі організацій по всьому світу через масштабні атаки з розпиленням паролів, що призвело до зламів у оборонному, супутниковому та фармацевтичному секторах.

Щоб посилити захист від фішингу та викрадення облікового запису, Microsoft оголосила, що з 15 жовтня багатофакторна автентифікація (MFA) стане обов’язковою для всіх спроб входу в Azure.

Бекдорне зловмисне програмне забезпечення може призвести до тяжких наслідків для жертв

Зловмисне програмне забезпечення бекдор створює значні ризики як для окремих користувачів, так і для організацій, надаючи несанкціонований доступ до скомпрометованих систем. Після встановлення бекдор-зловмисне програмне забезпечення створює приховані точки входу, які дозволяють зловмисникам обійти традиційні заходи безпеки та отримати контроль над мережею жертви. Такий підвищений доступ може призвести до ряду тяжких наслідків.

По-перше, бекдор-зловмисне програмне забезпечення дозволяє зловмисникам отримувати конфіденційну інформацію, зокрема особисті дані, фінансові записи та інтелектуальну власність. Ці зібрані дані можуть бути використані для крадіжки особистих даних, фінансового шахрайства або корпоративного шпигунства. Крім того, зловмисне програмне забезпечення може сприяти подальшим атакам, дозволяючи інсталювати додаткове зловмисне програмне забезпечення, зокрема програми-вимагачі, які можуть шифрувати критичні файли та вимагати викуп за їх випуск.

По-друге, бекдорне шкідливе програмне забезпечення може порушити цілісність системи та порушити роботу. Зловмисники можуть маніпулювати або видаляти важливі файли, змінювати конфігурації системи та відключати інструменти безпеки, що призводить до простою роботи та значних фінансових втрат. Цей збій може завдати особливої шкоди секторам критичної інфраструктури, таким як охорона здоров’я, фінанси та енергетика, де збої в системі можуть вплинути на громадську безпеку та послуги.

Крім того, бекдор-зловмисне програмне забезпечення часто сприяє таємному стеженню та шпигунству. Зловмисники можуть відстежувати дії користувачів, фіксувати натискання клавіш і отримувати доступ до каналів веб-камер без відома жертви, що призводить до порушення конфіденційності та конфіденційної інформації.

Підводячи підсумок, можна сказати, що бекдор-зловмисне програмне забезпечення створює серйозні ризики, підриваючи безпеку даних, операційну цілісність і конфіденційність. Його здатність забезпечувати постійний несанкціонований доступ робить його серйозною загрозою, яка вимагає надійних заходів безпеки та пильного моніторингу, щоб пом’якшити свій вплив.

В тренді

Найбільше переглянуті

Завантаження...