Tickler 惡意軟體
伊朗國家支持的威脅行為者一直在針對美國和阿拉伯聯合大公國的組織發動攻擊,採用新開發的自訂後門。駭客組織APT33 (也稱為 Peach Sandstorm 和 Refined Kitten)部署了以前未知的惡意軟體(現在被追蹤為 Tickler),以危害政府、國防、衛星、石油和天然氣領域的組織網路。研究人員表示,該組織隸屬於伊朗伊斯蘭革命衛隊(IRGC),在2024 年4 月至7 月期間的一次情報收集活動中使用了該惡意軟體。和-控制 (C2) 操作,依賴欺詐性 Azure 訂閱,此後該訂閱已被該公司中斷。
目錄
攻擊行動針對的關鍵部門
2024 年 4 月至 5 月期間,APT33 透過成功的密碼噴射攻擊瞄準了國防、太空、教育和政府部門的組織。這些攻擊涉及嘗試使用一組有限的常用密碼存取多個帳戶,以避免觸發帳戶鎖定。
儘管在各個部門都觀察到了密碼噴灑活動,但研究人員指出,Peach Sandstorm 特別利用教育部門受損的使用者帳戶來建立其營運基礎設施。威脅參與者要么訪問現有的 Azure 訂閱,要么使用受感染的帳戶建立新訂閱來託管其基礎設施。此 Azure 基礎設施隨後用於針對政府、國防和太空部門的進一步行動。
在過去的一年裡,Peach Sandstorm 透過使用客製化開發的工具成功滲透到這些領域的多個組織。
Tickler 惡意軟體為其他惡意軟體威脅奠定了基礎
Tickler 被認為是一個自訂的多階段後門,允許攻擊者在受感染的系統上安裝其他惡意軟體。據微軟稱,連結到 Tickler 的惡意有效負載可以收集系統資訊、執行命令、刪除檔案以及向命令和控制 (C&C) 伺服器下載或上傳檔案。
先前的 APT33 網路犯罪活動
2023 年 11 月,伊朗威脅組織採用了類似的策略,部署了 FalseFont 後門惡意軟體,破壞了全球國防承包商的網路。幾個月前,研究人員就另一場 APT33 活動發出警告,該活動自 2023 年 2 月以來一直透過廣泛的密碼噴灑攻擊針對全球數千個組織,導致國防、衛星和製藥領域出現漏洞。
為了增強針對網路釣魚和帳戶劫持的安全性,Microsoft 宣布從 10 月 15 日開始,所有 Azure 登入嘗試都將強制執行多重驗證 (MFA)。
後門惡意軟體可能會為受害者帶來嚴重後果
後門惡意軟體透過提供對受感染系統的未經授權的訪問,給個人使用者和組織帶來重大風險。一旦安裝,後門惡意軟體就會創建隱藏的入口點,使攻擊者能夠繞過傳統的安全措施並獲得對受害者網路的控制權。這種更高的存取權限可能會導致一系列嚴重後果。
首先,後門惡意軟體使攻擊者能夠獲取敏感訊息,包括個人資料、財務記錄和智慧財產權。收集到的資料可用於身分盜竊、金融詐欺或企業間諜活動。此外,該惡意軟體還可以透過安裝其他惡意軟體(包括勒索軟體)來促進進一步的攻擊,這些軟體可以加密關鍵檔案並要求勒索贖金以釋放這些檔案。
其次,後門惡意軟體可能會損害系統完整性並擾亂操作。攻擊者可以操縱或刪除重要文件、篡改系統配置並停用安全工具,從而導致營運停機和重大財務損失。這種中斷對於醫療保健、金融和能源等關鍵基礎設施產業尤其具有破壞性,這些產業的系統中斷可能會影響公共安全和服務。
此外,後門惡意軟體通常有助於秘密監視和間諜活動。攻擊者可以在受害者不知情的情況下監視用戶活動、捕獲擊鍵並存取網路攝影機,導致隱私和機密資訊遭到侵犯。
總之,後門惡意軟體會破壞資料安全、操作完整性和隱私,進而帶來嚴重風險。它提供持久的、未經授權的存取的能力使其成為潛在的威脅,需要強大的安全措施和警覺的監控來減輕其影響。