Tickler 恶意软件
一个由伊朗政府支持的威胁行为者在针对美国和阿拉伯联合酋长国组织的攻击中使用了一种新开发的定制后门。黑客组织APT33 (也称为 Peach Sandstorm 或 Refined Kitten)部署了一种以前未知的恶意软件(目前被追踪为 Tickler),以攻击政府、国防、卫星、石油和天然气部门的组织网络。据研究人员称,这个在伊朗伊斯兰革命卫队 (IRGC) 领导下活动的组织在 2024 年 4 月至 7 月期间在情报收集活动中使用了这种恶意软件。在这些攻击期间,黑客利用 Microsoft Azure 基础设施进行命令和控制 (C2) 操作,依赖于该公司后来中断的欺诈性 Azure 订阅。
目录
此次攻击行动针对的关键部门
2024 年 4 月至 5 月期间,APT33 通过成功的密码喷洒攻击瞄准了国防、航天、教育和政府部门的组织。这些攻击涉及尝试使用一组有限的常用密码访问多个帐户,以避免触发帐户锁定。
尽管密码喷洒活动在各个领域都有发现,但研究人员指出,Peach Sandstorm 专门利用教育领域被盗用户账户来建立其运营基础设施。威胁行为者要么访问现有的 Azure 订阅,要么使用被盗账户创建新订阅来托管其基础设施。然后,该 Azure 基础设施被用于针对政府、国防和航天领域的进一步行动。
在过去的一年里,Peach Sandstorm 利用定制开发的工具成功渗透到这些领域的多个组织。
Tickler 恶意软件为其他恶意软件威胁奠定了基础
Tickler 被认定为一种自定义的多阶段后门,允许攻击者在受感染的系统上安装其他恶意软件。据微软称,与 Tickler 相关的恶意负载可以收集系统信息、执行命令、删除文件以及从命令和控制 (C&C) 服务器下载或上传文件。
先前的 APT33 网络犯罪活动
2023 年 11 月,伊朗威胁组织采用类似策略入侵全球国防承包商网络,部署了 FalseFont 后门恶意软件。几个月前,研究人员曾就另一场 APT33 活动发出警告,该活动自 2023 年 2 月以来一直通过广泛的密码喷洒攻击针对全球数千个组织,导致国防、卫星和制药部门遭到入侵。
为了增强防范网络钓鱼和帐户劫持的安全性,微软宣布从 10 月 15 日开始,所有 Azure 登录尝试都必须进行多重身份验证 (MFA)。
后门恶意软件可能会给受害者带来严重后果
后门恶意软件通过提供对受感染系统的未经授权的访问,对个人用户和组织都构成重大风险。安装后,后门恶意软件会创建隐藏的入口点,使攻击者能够绕过传统的安全措施并控制受害者的网络。这种提升的访问权限可能导致一系列严重后果。
首先,后门恶意软件使攻击者能够获取敏感信息,包括个人数据、财务记录和知识产权。收集到的数据可用于身份盗窃、金融欺诈或企业间谍活动。此外,恶意软件还可以通过安装其他恶意软件(包括勒索软件)来促进进一步的攻击,勒索软件可以加密关键文件并要求赎金才能释放它们。
其次,后门恶意软件会破坏系统完整性并扰乱操作。攻击者可以操纵或删除重要文件、篡改系统配置并禁用安全工具,从而导致运营中断和重大财务损失。这种破坏对于医疗、金融和能源等关键基础设施行业尤其具有破坏性,因为系统中断会影响公共安全和服务。
此外,后门恶意软件通常有助于秘密监视和间谍活动。攻击者可以在受害者不知情的情况下监视用户活动、捕获击键并访问网络摄像头,从而导致隐私和机密信息泄露。
总而言之,后门恶意软件通过破坏数据安全、操作完整性和隐私带来严重风险。它能够提供持续、未经授权的访问,使其成为一种强大的威胁,需要采取强有力的安全措施和警惕的监控来减轻其影响。