伊朗黑客在高风险网络攻击中部署 Tickler 恶意软件

全球网络安全领域出现了一个令人担忧的进展，伊朗政府支持的黑客引入了一种名为Tickler 的新型定制恶意软件，用于渗透和收集美国和阿联酋关键基础设施的情报。微软追踪到，这个复杂活动的幕后组织被称为Peach Sandstorm （也有其他别名，如APT33 、Elfin 和 Refined Kitten），一直在不懈地追捕目标行业的宝贵数据。

网络领域的新威胁

Tickler不仅仅是一种恶意软件，它代表了伊朗网络间谍工具能力的重大飞跃。这种多阶段后门旨在深入受感染的系统，让攻击者能够执行一系列恶意活动。从收集敏感系统信息到执行命令和操纵文件， Tickler是攻击者的多功能工具。

瞄准关键领域

此次攻击的主要目标包括卫星、通信、政府和石油天然气行业的组织，这些行业对美国和阿联酋的国家安全都至关重要。攻击者的策略很明确：破坏并收集这些国家基础设施中发挥关键作用的行业的情报。

桃色沙尘暴的持续威胁

多年来，桃色沙尘暴一直表现出持续不断且不断演变的威胁。2023 年末，该组织的活动不断升级，重点针对美国国防工业基地内的员工。他们的方法不仅限于技术漏洞；他们还利用社交工程（尤其是通过 LinkedIn）来收集情报并实施他们的邪恶计划。

社会工程学的力量

LinkedIn 已被证明是这些黑客的宝贵工具，使他们能够策划令人信服的社交工程攻击，诱使目标产生虚假的安全感。通过操纵专业网络中的信任， Peach Sandstorm有效地突破了原本安全的防御措施。

扩大武器库

除了使用Tickler外，该组织还继续使用密码喷洒攻击，这是一种利用弱密码来入侵多个账户的技术。最近，美国和澳大利亚的国防、航天、教育和政府部门都发现了此类攻击。

利用云基础设施获取有害收益

此次攻击活动最令人担忧的方面之一是使用欺诈性的 Azure 订阅进行命令和控制操作。通过利用合法的云基础设施，黑客可以隐藏他们的活动，使防御者更难以检测和缓解他们的攻击。

协同网络攻击

微软发布有关“桃色沙尘暴”的报告的时间值得注意，恰逢谷歌云 Mandiant 发布有关伊朗反间谍行动的报告以及美国政府发布有关伊朗国家支持的网络活动的公告。这表明伊朗行为者正在采取更广泛、更协调的行动，扩大其网络影响力，并与勒索软件团体合作以扩大其影响力。

需要保持警惕

随着伊朗黑客的攻击手段不断改进，各组织，尤其是关键部门的组织必须保持警惕。Tickler 的推出标志着网络间谍活动的新篇章，强调了采取强有力的网络安全措施和国际合作以应对这些日益严重的威胁的必要性。

网络安全专家和组织必须领先于这些发展，确保他们准备好防御来自像Peach Sandstorm这样的国家支持的行为者日益复杂的攻击。