如果你不阻止 Tickler 恶意软件，它就会收集你的情报

新型复杂恶意软件的出现是一个持续不断的挑战。Tickler 恶意软件就是其中一种威胁。虽然名称听起来无害，但 Tickler 绝非小事。它是已知的受国家支持的威胁行为者在有针对性的网络攻击中使用的强大工具，对全球行业构成重大风险。

Table of Contents

什么是 Tickler 恶意软件？

Tickler 是专门设计的后门恶意软件，由微软追踪的 Peach Sandstorm 威胁组织开发和部署。该组织还以各种别名而闻名，例如 APT33、Elfin、Holmium、Magnallium 和 Refined Kitten。据信该组织受到伊朗政府的支持。它曾针对关键部门（尤其是美国和阿拉伯联合酋长国）进行网络间谍活动。

Tickler 于 2023 年底首次被发现，它不仅仅是一种恶意软件，它代表了一种复杂的多阶段网络攻击方法。该后门主要用于针对卫星通信、政府机构以及石油和天然气公司等行业的情报收集行动。这些行业通常是国家安全和基础设施的支柱，因此成为网络间谍活动的主要目标。

Tickler 恶意软件如何运作？

Tickler 的功能既复杂又危险。一旦它入侵系统，就会与命令和控制 (C&C) 服务器建立隐蔽的通信通道。此连接允许攻击者远程执行各种恶意活动。

该恶意软件的功能包括：

信息收集：Tickler 可以收集有关受感染系统的详细信息，包括其配置、网络设置和用户数据。
命令执行：它允许攻击者在受感染的机器上执行命令，这些命令可用于更改系统设置、操纵文件或进一步破坏网络。
文件管理：恶意软件可以在受感染系统和 C＆C 服务器之间上传或下载文件，从而有助于窃取敏感数据或引入其他恶意软件组件。
文件删除：Tickler 可以删除受感染系统上的文件，可能抹去入侵证据或破坏关键操作。

微软的研究表明，Peach Sandstorm 使用 Tickler 的策略非常广泛，其中包括社会工程攻击，尤其是通过 LinkedIn 等平台。威胁行为者经常试图欺骗目标行业的员工泄露敏感信息或在不知情的情况下安装恶意软件。

此外，据观察，该组织还实施了密码喷洒攻击，即通过在多个账户上系统地尝试常用密码来获取未经授权的系统访问权限。这些攻击针对的是美国和澳大利亚的国防、航天、教育和政府部门的组织。

保护您的组织免受 Tickler 恶意软件的侵害

鉴于其先进的功能和国家资助组织的支持，Tickler 构成了严重威胁。但是，组织可以采取一些措施来保护自己免受此类网络威胁和类似网络威胁的侵害。

加强密码策略：实施强大而独特的密码并定期更改密码有助于降低密码喷洒攻击的风险。多因素身份验证 (MFA) 增加了另一层安全保护。
增强员工意识：教育员工了解社交工程的危险，尤其是在 LinkedIn 等专业社交平台上。定期进行识别网络钓鱼企图和可疑行为的培训课程可以降低成功攻击的可能性。
监控异常活动：使用网络监控工具检测异常数据流或系统行为，这可能意味着存在 Tickler 等恶意软件。如果您想将攻击的影响降到最低，早期检测至关重要。
安全通信渠道：加密并保护所有通信渠道，尤其是涉及敏感信息的通信渠道。这降低了威胁行为者成功拦截数据的可能性。
定期更新和修补系统：保持软件和系统更新是抵御多种恶意软件（包括 Tickler 等自定义威胁）的基本但有效的方法。定期应用安全补丁可消除攻击者可能利用的已知漏洞。