伊朗駭客在高風險網路攻擊中部署 Tickler 惡意軟體

在全球網路安全的一個令人擔憂的發展中，伊朗國家資助的駭客引入了一種名為Tickler 的新客製化惡意軟體，用於滲透並收集美國和阿拉伯聯合大公國關鍵基礎設施的情報。這項複雜活動背後的組織被微軟追蹤為Peach Sandstorm （也有各種其他別名，如APT33 、Elfin 和 Refined Kitten），一直不懈地從目標部門獲取有價值的數據。

網路領域的新威脅

Tickler不只是另一個惡意軟體；它也是一種惡意軟體。它代表了伊朗網路間諜工具能力的重大飛躍。這種多階段後門旨在深入受損系統，使攻擊者能夠執行一系列惡意活動。從收集敏感系統資訊到執行命令和操作文件， Tickler成為攻擊者的多功能工具。

針對關鍵部門

該活動的主要目標包括衛星、通訊、政府以及石油和天然氣產業內的組織，這些產業對美國和阿聯酋的國家安全至關重要。攻擊者的策略很明確：破壞在這些國家基礎設施中發揮關鍵作用的部門並收集情報。

桃色沙塵暴的持續威脅

多年來， 「桃色沙塵暴」已展現出持續且不斷變化的威脅。 2023 年底，該組織的活動增加，重點在於美國國防工業基地內的員工。他們的方法不僅限於技術利用；他們也利用社會工程，特別是透過 LinkedIn 來收集情報並實施他們的邪惡計劃。

社會工程的力量

LinkedIn 已被證明對這些駭客來說是一個有價值的工具，使他們能夠策劃令人信服的社會工程攻擊，引誘他們的目標產生虛假的安全感。透過操縱專業網路內的信任， Peach Sandstorm有效地破壞了原本安全的防禦。

擴大他們的軍火庫

除了使用Tickler之外，該組織還繼續使用密碼噴射攻擊，這種技術旨在透過利用弱密碼來危害多個帳戶。最近，美國和澳洲的國防、太空、教育和政府部門都發現了此類攻擊。

利用雲端基礎設施獲取有害收益

此活動最令人擔憂的方面之一是使用詐騙 Azure 訂閱進行命令和控制操作。透過利用合法的雲端基礎設施，駭客可以隱藏他們的活動，並使防禦者更難檢測和緩解他們的攻擊。

協調一致的網路攻勢

微軟發布桃子沙塵暴報告的時機值得注意，它與Google雲端關於伊朗反情報行動的 Mandiant 報告以及美國政府關於伊朗國家支持的網路活動的諮詢報告同時發生。這表明伊朗行為者正在採取更廣泛、協調的努力來擴大其網路影響力，並與勒索軟體組織合作以擴大其影響力。

需要保持警惕

隨著伊朗駭客不斷演變其策略，組織，尤其是關鍵部門的組織必須保持警惕。 Tickler的推出標誌著網路間諜活動翻開了新篇章，凸顯了採取強有力的網路安全措施和國際合作來應對這些日益增長的威脅的必要性。

網路安全專業人士和組織必須走在這些發展的前面，確保他們做好準備，抵禦來自Peach Sandstorm等國家支持的行為者日益複雜的攻擊。