Tin tặc Iran triển khai phần mềm độc hại Tickler trong các cuộc tấn công mạng có mức độ rủi ro cao
Trong một diễn biến đáng lo ngại đối với an ninh mạng toàn cầu, tin tặc do nhà nước Iran tài trợ đã giới thiệu một phần mềm độc hại tùy chỉnh mới, được gọi là Tickler , để xâm nhập và thu thập thông tin tình báo về cơ sở hạ tầng quan trọng tại Hoa Kỳ và Các Tiểu vương quốc Ả Rập Thống nhất. Nhóm đứng sau chiến dịch tinh vi này, được Microsoft theo dõi với tên gọi Peach Sandstorm —còn được biết đến với nhiều bí danh khác như APT33 , Elfin và Refined Kitten—đã không ngừng theo đuổi dữ liệu có giá trị từ các lĩnh vực mục tiêu.
Mục lục
Một mối đe dọa mới trong đấu trường mạng
Tickler không chỉ là một phần mềm độc hại khác; nó đại diện cho một bước tiến đáng kể về khả năng của các công cụ gián điệp mạng của Iran. Cửa hậu nhiều giai đoạn này được thiết kế để đào sâu vào các hệ thống bị xâm phạm, cho phép kẻ tấn công thực hiện một loạt các hoạt động độc hại. Từ việc thu thập thông tin hệ thống nhạy cảm đến thực thi lệnh và thao túng các tệp, Tickler đóng vai trò là một công cụ đa năng cho kẻ tấn công.
Nhắm mục tiêu vào các lĩnh vực quan trọng
Mục tiêu chính của chiến dịch này bao gồm các tổ chức trong ngành vệ tinh, truyền thông, chính phủ và dầu khí—các lĩnh vực quan trọng đối với an ninh quốc gia của cả Hoa Kỳ và UAE. Chiến lược của những kẻ tấn công rất rõ ràng: phá vỡ và thu thập thông tin tình báo từ các lĩnh vực đóng vai trò then chốt trong cơ sở hạ tầng của các quốc gia này.
Mối đe dọa dai dẳng của cơn bão cát đào
Peach Sandstorm đã chứng minh được mối đe dọa dai dẳng và liên tục phát triển trong nhiều năm. Vào cuối năm 2023, các hoạt động của nhóm đã tăng tốc, tập trung vào các nhân viên trong cơ sở công nghiệp quốc phòng Hoa Kỳ. Cách tiếp cận của chúng không chỉ giới hạn ở các khai thác kỹ thuật; chúng còn khai thác kỹ thuật xã hội, đặc biệt là thông qua LinkedIn, để thu thập thông tin tình báo và thực hiện các kế hoạch đen tối của chúng.
Sức mạnh của Kỹ thuật xã hội
LinkedIn đã chứng minh là một công cụ có giá trị đối với những tin tặc này, cho phép chúng tạo ra các cuộc tấn công kỹ thuật xã hội thuyết phục để dụ mục tiêu của chúng vào cảm giác an toàn giả tạo. Bằng cách thao túng lòng tin trong các mạng lưới chuyên nghiệp, Peach Sandstorm đã phá vỡ các biện pháp phòng thủ vốn vẫn an toàn.
Mở rộng kho vũ khí của họ
Ngoài việc sử dụng Tickler , nhóm này còn tiếp tục sử dụng các cuộc tấn công bằng password spray, một kỹ thuật nhằm xâm phạm nhiều tài khoản bằng cách khai thác mật khẩu yếu. Gần đây, các cuộc tấn công này đã được phát hiện trong các lĩnh vực quốc phòng, không gian, giáo dục và chính phủ trên khắp Hoa Kỳ và Úc.
Tận dụng cơ sở hạ tầng đám mây để đạt được lợi ích có hại
Một trong những khía cạnh đáng báo động nhất của chiến dịch này là việc sử dụng các đăng ký Azure gian lận cho các hoạt động chỉ huy và kiểm soát. Bằng cách tận dụng cơ sở hạ tầng đám mây hợp pháp, tin tặc có thể che giấu các hoạt động của chúng và khiến những người bảo vệ khó phát hiện và giảm thiểu các cuộc tấn công của chúng hơn.
Một cuộc tấn công mạng phối hợp
Thời điểm Microsoft đưa ra báo cáo về Peach Sandstorm rất đáng chú ý, trùng với báo cáo Mandiant của Google Cloud về hoạt động phản gián của Iran và khuyến cáo của chính phủ Hoa Kỳ về các hoạt động mạng do nhà nước Iran tài trợ. Điều này cho thấy nỗ lực rộng lớn hơn, có sự phối hợp của các tác nhân Iran nhằm mở rộng ảnh hưởng mạng và hợp tác với các nhóm ransomware để khuếch đại tác động của chúng.
Sự cần thiết phải cảnh giác
Khi tin tặc Iran tiếp tục phát triển chiến thuật của mình, các tổ chức, đặc biệt là những tổ chức trong các lĩnh vực quan trọng, cần phải luôn cảnh giác. Việc giới thiệu Tickler đánh dấu một chương mới trong hoạt động gián điệp mạng, nhấn mạnh nhu cầu về các biện pháp an ninh mạng mạnh mẽ và hợp tác quốc tế để chống lại các mối đe dọa ngày càng gia tăng này.
Các chuyên gia và tổ chức an ninh mạng phải đi đầu trong những diễn biến này, đảm bảo rằng họ đã sẵn sàng phòng thủ trước các cuộc tấn công ngày càng tinh vi từ các tác nhân được nhà nước tài trợ như Peach Sandstorm .