Иранские хакеры запускают новую вредоносную программу «Tickler» для целенаправленных атак на критически важную инфраструктуру США и ОАЭ
Тревожным событием стало то, что спонсируемая иранским государством хакерская группа Peach Sandstorm была замечена за внедрением нового сложного вредоносного ПО под названием « Tickler ». Эта группа, также известная под различными названиями, такими как APT33, Elfin, Holmium, Magnallium и Refined Kitten, активизировала свои операции по кибершпионажу, нацелившись на критически важную инфраструктуру в Соединенных Штатах и Объединенных Арабских Эмиратах (ОАЭ).
Table of Contents
Растущая угроза персиковой песчаной бури
Peach Sandstorm, известная своими непрекращающимися кибератаками, стала занозой для глобальной безопасности, особенно в секторах, которые жизненно важны для национальной обороны и экономической стабильности. В конце 2023 года Microsoft выявила всплеск активности этой группы, нацеленной в частности на сотрудников оборонно-промышленной базы США. Эта эскалация знаменует собой значительный сдвиг, поскольку группа использует в своих операциях недавно разработанный бэкдор Tickler.
Функциональность Tickler: многоступенчатый бэкдор
Tickler — это не просто обычное вредоносное ПО; это специальный многоступенчатый бэкдор, разработанный с учетом универсальности. После проникновения в систему Tickler позволяет злоумышленникам загружать дополнительные вредоносные полезные нагрузки, тем самым расширяя свой контроль над скомпрометированной сетью. Возможности этого вредоносного ПО обширны — оно может собирать системную информацию, выполнять произвольные команды, удалять файлы и управлять передачей файлов между системой жертвы и сервером управления и контроля (C&C) злоумышленника.
Цели под прицелом: спутники, связь и многое другое
Главными целями последней кампании Peach Sandstorm являются организации, которые являются столпами современной инфраструктуры — спутниковые системы связи, правительственные агентства и нефтегазовые компании как в США, так и в ОАЭ. Эти секторы не только критически важны для ежедневного функционирования этих стран, но и имеют огромное стратегическое значение, что делает их главными целями для сбора разведданных и потенциального нарушения.
Социальная инженерия и тактика распыления паролей
Помимо развертывания вредоносного ПО Tickler, Peach Sandstorm продолжает использовать методы социальной инженерии через такие платформы, как LinkedIn. Нацеливаясь на профессионалов в чувствительных отраслях, они стремятся получить доступ к инсайдерской информации. Более того, группа была замечена в проведении атак с распылением паролей — метода, при котором злоумышленники используют общие пароли для многих учетных записей, чтобы получить несанкционированный доступ. Эти атаки были особенно направлены на организации в оборонном, космическом, образовательном и государственном секторах в США и Австралии.
Использование инфраструктуры Azure для управления и контроля
В изощренном повороте Peach Sandstorm использует инфраструктуру Azure, в частности мошеннические подписки, контролируемые злоумышленниками, для своих операций C&C. Эта тактика не только обеспечивает им надежную инфраструктуру, но и затрудняет отслеживание и прекращение их деятельности, поскольку они скрыты в легитимных облачных сервисах.
Более широкий контекст киберугроз
Публикация отчета Microsoft о деятельности Peach Sandstorm совпала с другими важными разоблачениями в сфере кибербезопасности. В тот же день Mandiant из Google Cloud опубликовала отчет об иранской контрразведывательной операции, а правительство США выпустило рекомендацию, в которой подчеркивается сотрудничество между иранскими государственными субъектами и группами вымогателей. Эта синхронизация отчетов подчеркивает более широкий, скоординированный характер киберугроз, исходящих из Ирана.
Защита критической инфраструктуры: путь вперед
Поскольку Peach Sandstorm и другие спонсируемые государством субъекты угроз продолжают развивать свою тактику, крайне важно для организаций, особенно в критических секторах, усилить меры кибербезопасности. Это включает в себя внедрение надежных политик паролей, улучшение мониторинга облачных сервисов и обучение сотрудников рискам социальной инженерии.
Борьба с киберугрозами далека от завершения, и с появлением таких сложных инструментов, как Tickler, бдительность и упреждающие стратегии защиты становятся важнее, чем когда-либо.
