伊朗黑客释放新型“Tickler”恶意软件，针对美国和阿联酋关键基础设施发起攻击

令人担忧的是，据观察，伊朗政府支持的黑客组织 Peach Sandstorm 正在部署一种名为“ Tickler ”的新型复杂恶意软件。该组织还以 APT33、Elfin、Holmium、Magnallium 和 Refined Kitten 等各种名称进行追踪，他们加强了网络间谍活动，目标是美国和阿拉伯联合酋长国 (UAE) 的关键基础设施。

Table of Contents

桃色沙尘暴的威胁不断演变

以无情的网络攻击而闻名的 Peach Sandstorm 一直是全球安全的眼中钉，尤其是在对国防和经济稳定至关重要的领域。2023 年末，微软发现该组织的活动激增，专门针对美国国防工业基地的员工。这次升级标志着一个重大转变，因为该组织在其运营中利用了新开发的 Tickler 后门。

Tickler 的功能：多阶段后门

Tickler 并非普通的恶意软件；它是一个定制的多阶段后门，设计时考虑到了多功能性。一旦 Tickler 渗透到系统，攻击者便可以下载其他恶意负载，从而扩大对受感染网络的控制。该恶意软件的功能非常广泛 - 它可以收集系统信息、执行任意命令、删除文件，并管理受害者系统与攻击者的命令和控制 (C&C) 服务器之间的文件传输。

瞄准的目标：卫星、通信等

Peach Sandstorm 最新行动的主要目标是现代基础设施的支柱组织，包括美国和阿联酋的卫星通信系统、政府机构和石油和天然气公司。这些部门不仅对这些国家的日常运作至关重要，而且具有巨大的战略重要性，使其成为情报收集和潜在破坏的主要目标。

社会工程学和密码喷洒策略

除了部署 Tickler 恶意软件外，Peach Sandstorm 还继续通过 LinkedIn 等平台利用社交工程技术。他们的目标是敏感行业的专业人士，以获取内幕信息。此外，据观察，该组织还进行密码喷洒攻击，即攻击者在许多帐户中使用通用密码来获得未经授权的访问权限。这些攻击主要针对美国和澳大利亚的国防、航天、教育和政府部门的组织。

利用 Azure 基础设施进行指挥和控制

更复杂的是，Peach Sandstorm 一直在使用 Azure 基础设施（特别是攻击者控制的欺诈性订阅）进行 C&C 操作。这种策略不仅为他们提供了可靠的基础设施，而且还使他们的活动更难被追踪和阻止，因为他们的活动隐藏在合法的云服务中。

网络威胁的更广泛背景

微软发布有关 Peach Sandstorm 活动的报告的同时，还有其他重大网络安全事件曝光。同一天，谷歌云的 Mandiant 发布了一份关于伊朗反间谍行动的报告，美国政府发布了一份咨询报告，强调了伊朗国家支持的行为者与勒索软件团体之间的合作。这些报告的同步发布凸显了来自伊朗的网络威胁具有更广泛、更协调的性质。