„Tickler“ kenkėjiška programa surinks „Intel“, jei to nesustabdysite

Naujų, sudėtingų kenkėjiškų programų atsiradimas yra nuolatinis iššūkis. Viena iš tokių grėsmių yra Tickler kenkėjiška programa. Nors pavadinimas gali pasirodyti nekenksmingas, Tickler yra ne kas kita, o nebanalus. Tai galingas įrankis, kurį naudoja žinomas valstybės remiamas grėsmių veikėjas, vykdydamas tikslines kibernetines atakas, keliančias didelę riziką pramonės šakoms visame pasaulyje.

Kas yra Tickler kenkėjiška programa?

„Tickler“ yra pagal užsakymą sukurta užpakalinių durų kenkėjiška programa, kurią sukūrė ir diegia grėsmių grupė, kurią „Microsoft“ seka kaip Peach Sandstorm. Ši grupė taip pat žinoma įvairiais slapyvardžiais, tokiais kaip APT33, Elfin, Holmium, Magnallium ir Refined Kitten. Manoma, kad šią grupę remia Irano vyriausybė. Ji turi kibernetinio šnipinėjimo kampanijų, skirtų kritiniams sektoriams, ypač Jungtinėse Valstijose ir Jungtiniuose Arabų Emyratuose (JAE), istoriją.

Pirmą kartą pastebėta 2023 m. pabaigoje, „Tickler“ nėra tik dar viena kenkėjiškos programinės įrangos dalis – tai sudėtingas, daugiapakopis požiūris į kibernetines atakas. Šios užpakalinės durys pirmiausia naudojamos žvalgybos informacijos rinkimo operacijose, skirtose tokioms pramonės šakoms kaip palydovinis ryšys, vyriausybinės institucijos ir naftos bei dujų įmonės. Šie sektoriai dažnai yra nacionalinio saugumo ir infrastruktūros pagrindas, todėl jie yra pagrindiniai kibernetinio šnipinėjimo tikslai.

Kaip veikia Tickler kenkėjiška programa?

„Tickler“ funkcijos yra tiek sudėtingos, tiek pavojingos. Kai jis įsiskverbia į sistemą, jis sukuria slaptą ryšio kanalą su komandų ir valdymo (C&C) serveriu. Šis ryšys leidžia užpuolikams nuotoliniu būdu vykdyti įvairią kenkėjišką veiklą.

Kenkėjiškos programos galimybės apima:

• Informacijos rinkimas : Tickler gali rinkti išsamią informaciją apie pažeistą sistemą, įskaitant jos konfigūraciją, tinklo nustatymus ir vartotojo duomenis.
• Komandų vykdymas : leidžia užpuolikams vykdyti komandas užkrėstame įrenginyje, kurios gali būti naudojamos sistemos nustatymams keisti, failais manipuliuoti ar dar labiau pažeisti tinklą.
• Failų valdymas : kenkėjiška programa gali įkelti arba atsisiųsti failus iš pažeistos sistemos ir C&C serverio, taip palengvindama neskelbtinų duomenų vagystę arba papildomų kenkėjiškų programų komponentų įdiegimą.
• Failų ištrynimas : „Tickler“ gali ištrinti pažeistoje sistemoje esančius failus, galbūt ištrindamas įsibrovimo įrodymus arba sabotuodamas svarbias operacijas.

„Microsoft“ tyrimai rodo, kad „Peach Sandstorm“ naudoja „Tickler“ plačią strategiją, apimančią socialinės inžinerijos atakas, ypač per tokias platformas kaip „LinkedIn“. Grėsmės veikėjai dažnai bando apgauti tikslinių pramonės šakų darbuotojus, kad jie atskleistų neskelbtiną informaciją arba nesąmoningai įdiegtų kenkėjiškas programas.

Be to, buvo pastebėta, kad grupė naudoja slaptažodžių išpurškimo atakas – bandymą gauti neteisėtą prieigą prie sistemų, sistemingai bandant dažnai naudojamus slaptažodžius keliose paskyrose. Šios atakos buvo nukreiptos į gynybos, kosmoso, švietimo ir vyriausybės sektorių organizacijas tiek JAV, tiek Australijoje.

Organizacijos apsauga nuo kenkėjiškų programų

Atsižvelgiant į savo pažangius pajėgumus ir valstybės remiamos grupės paramą, Tickler kelia rimtą grėsmę. Tačiau organizacijos gali imtis veiksmų, kad apsisaugotų nuo šios ir panašių kibernetinių grėsmių.

1. Stiprinti slaptažodžių politiką : tvirtų, unikalių slaptažodžių įdiegimas ir reguliarus slaptažodžio keitimas gali padėti sumažinti slaptažodžių išpurškimo atakų riziką. Kelių veiksnių autentifikavimas (MFA) prideda dar vieną saugos sluoksnį.
2. Padidinkite darbuotojų sąmoningumą : mokykite darbuotojus apie socialinės inžinerijos pavojus, ypač profesionaliose tinklų platformose, pvz., „LinkedIn“. Reguliarūs mokymai, kaip atpažinti sukčiavimo bandymus ir įtartiną elgesį, gali sumažinti sėkmingų atakų tikimybę.
3. Neįprastos veiklos stebėjimas : naudokite tinklo stebėjimo įrankius, kad aptiktumėte neįprastus duomenų srautus arba sistemos elgseną, galinčią reikšti kenkėjiškų programų, pvz., „Tickler“, buvimą. Ankstyvas aptikimas yra labai svarbus, jei norite sumažinti atakos poveikį.
4. Saugūs ryšio kanalai : užšifruokite ir apsaugokite visus ryšio kanalus, ypač tuos, kuriuose yra slapta informacija. Tai sumažina tikimybę, kad grėsmės veikėjai sėkmingai perims duomenis.
5. Reguliariai atnaujinkite ir pataisykite sistemas : programinės įrangos ir sistemų atnaujinimas yra pagrindinė, tačiau efektyvi apsauga nuo daugelio tipų kenkėjiškų programų, įskaitant pasirinktines grėsmes, tokias kaip „Tickler“. Reguliariai taikant saugos pataisas pašalinamos žinomos spragos, kurias gali išnaudoti užpuolikai.

Paskutinės mintys

„Tickler“ kenkėjiškų programų atradimas yra ryškus priminimas apie nuolatines ir besikeičiančias grėsmes, su kuriomis susiduria organizacijos skaitmeniniame amžiuje. Suprasdamos, kaip veikia ši kenkėjiška programa, ir imdamiesi iniciatyvių veiksmų, kad sustiprintų kibernetinio saugumo apsaugą, įmonės ir vyriausybinės agentūros gali geriau apsisaugoti nuo tokių sudėtingų grėsmių. Nors kova su kibernetinėmis atakomis tebevyksta, žinios ir budrumas išlieka geriausios mūsų apsaugos priemonės.