Tickler Malware
Một tác nhân đe dọa được nhà nước Iran tài trợ đã sử dụng một cửa hậu tùy chỉnh mới được phát triển trong các cuộc tấn công nhắm vào các tổ chức tại Hoa Kỳ và Các Tiểu vương quốc Ả Rập Thống nhất. Nhóm tin tặc APT33 , còn được gọi là Peach Sandstorm và Refined Kitten, đã triển khai phần mềm độc hại chưa từng được biết đến trước đây, hiện được theo dõi là Tickler, để xâm phạm mạng lưới các tổ chức trong các lĩnh vực chính phủ, quốc phòng, vệ tinh, dầu khí. Theo các nhà nghiên cứu, nhóm này, hoạt động dưới sự chỉ huy của Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC), đã sử dụng phần mềm độc hại trong một chiến dịch thu thập thông tin tình báo từ tháng 4 đến tháng 7 năm 2024. Trong các cuộc tấn công này, tin tặc đã sử dụng cơ sở hạ tầng Microsoft Azure cho các hoạt động Chỉ huy và Kiểm soát (C2), dựa vào các đăng ký Azure gian lận đã bị công ty phá vỡ.
Mục lục
Các khu vực quan trọng bị nhắm mục tiêu bởi chiến dịch tấn công
Từ tháng 4 đến tháng 5 năm 2024, APT33 đã nhắm mục tiêu vào các tổ chức trong lĩnh vực quốc phòng, không gian, giáo dục và chính phủ thông qua các cuộc tấn công rải mật khẩu thành công. Các cuộc tấn công này liên quan đến việc cố gắng truy cập nhiều tài khoản bằng một tập hợp giới hạn các mật khẩu thường dùng để tránh kích hoạt khóa tài khoản.
Mặc dù hoạt động rải mật khẩu được quan sát thấy trên nhiều lĩnh vực khác nhau, các nhà nghiên cứu lưu ý rằng Peach Sandstorm đã khai thác cụ thể các tài khoản người dùng bị xâm phạm trong lĩnh vực giáo dục để thiết lập cơ sở hạ tầng hoạt động của họ. Các tác nhân đe dọa đã truy cập vào các đăng ký Azure hiện có hoặc tạo các đăng ký mới bằng cách sử dụng các tài khoản bị xâm phạm để lưu trữ cơ sở hạ tầng của họ. Cơ sở hạ tầng Azure này sau đó được sử dụng trong các hoạt động tiếp theo nhắm vào các lĩnh vực chính phủ, quốc phòng và không gian.
Trong năm qua, Peach Sandstorm đã xâm nhập thành công vào một số tổ chức trong các lĩnh vực này bằng cách sử dụng các công cụ được phát triển riêng.
Tickler Malware mở đường cho các mối đe dọa phần mềm độc hại khác
Tickler được xác định là một backdoor tùy chỉnh, nhiều giai đoạn cho phép kẻ tấn công cài đặt thêm phần mềm độc hại trên các hệ thống bị xâm phạm. Theo Microsoft, các payload độc hại được liên kết với Tickler có thể thu thập thông tin hệ thống, thực thi lệnh, xóa tệp và tải xuống hoặc tải lên tệp đến và từ máy chủ Command and Control (C&C).
Các chiến dịch tội phạm mạng APT33 trước đây
Vào tháng 11 năm 2023, nhóm đe dọa Iran đã sử dụng một chiến thuật tương tự để xâm nhập vào mạng lưới các nhà thầu quốc phòng trên toàn cầu, triển khai phần mềm độc hại cửa sau FalseFont. Vài tháng trước đó, các nhà nghiên cứu đã đưa ra cảnh báo về một chiến dịch APT33 khác nhắm vào hàng nghìn tổ chức trên toàn thế giới thông qua các cuộc tấn công rải mật khẩu rộng rãi kể từ tháng 2 năm 2023, dẫn đến các vụ xâm nhập trong các lĩnh vực quốc phòng, vệ tinh và dược phẩm.
Để tăng cường bảo mật chống lại lừa đảo và chiếm đoạt tài khoản, Microsoft đã thông báo rằng bắt đầu từ ngày 15 tháng 10, xác thực đa yếu tố (MFA) sẽ trở thành bắt buộc đối với mọi lần đăng nhập Azure.
Phần mềm độc hại Backdoor có thể gây ra hậu quả nghiêm trọng cho nạn nhân
Phần mềm độc hại cửa sau gây ra rủi ro đáng kể cho cả người dùng cá nhân và tổ chức bằng cách cung cấp quyền truy cập trái phép vào các hệ thống bị xâm phạm. Sau khi cài đặt, phần mềm độc hại cửa sau tạo ra các điểm vào ẩn cho phép kẻ tấn công bỏ qua các biện pháp bảo mật truyền thống và giành quyền kiểm soát mạng của nạn nhân. Quyền truy cập nâng cao này có thể dẫn đến một loạt hậu quả nghiêm trọng.
Đầu tiên, phần mềm độc hại cửa sau cho phép kẻ tấn công thu thập thông tin nhạy cảm, bao gồm dữ liệu cá nhân, hồ sơ tài chính và sở hữu trí tuệ. Dữ liệu thu thập được này có thể được sử dụng để đánh cắp danh tính, gian lận tài chính hoặc gián điệp doanh nghiệp. Ngoài ra, phần mềm độc hại có thể tạo điều kiện cho các cuộc tấn công tiếp theo bằng cách cho phép cài đặt phần mềm độc hại bổ sung, bao gồm cả phần mềm tống tiền, có thể mã hóa các tệp quan trọng và yêu cầu tiền chuộc để giải phóng chúng.
Thứ hai, phần mềm độc hại cửa sau có thể làm tổn hại đến tính toàn vẹn của hệ thống và làm gián đoạn hoạt động. Kẻ tấn công có thể thao túng hoặc xóa các tệp quan trọng, can thiệp vào cấu hình hệ thống và vô hiệu hóa các công cụ bảo mật, dẫn đến thời gian ngừng hoạt động và tổn thất tài chính đáng kể. Sự gián đoạn này có thể đặc biệt gây tổn hại cho các lĩnh vực cơ sở hạ tầng quan trọng, chẳng hạn như chăm sóc sức khỏe, tài chính và năng lượng, nơi sự cố hệ thống có thể ảnh hưởng đến an toàn công cộng và dịch vụ.
Hơn nữa, phần mềm độc hại cửa sau thường tạo điều kiện cho hoạt động giám sát và gián điệp bí mật. Kẻ tấn công có thể theo dõi hoạt động của người dùng, ghi lại các lần nhấn phím và truy cập nguồn cấp dữ liệu webcam mà nạn nhân không biết, dẫn đến vi phạm quyền riêng tư và thông tin bí mật.
Tóm lại, phần mềm độc hại cửa sau gây ra những rủi ro nghiêm trọng bằng cách làm suy yếu tính bảo mật dữ liệu, tính toàn vẹn hoạt động và quyền riêng tư. Khả năng cung cấp quyền truy cập trái phép liên tục khiến nó trở thành mối đe dọa mạnh mẽ đòi hỏi các biện pháp bảo mật mạnh mẽ và giám sát thận trọng để giảm thiểu tác động của nó.