伊朗駭客發布新的「Tickler」惡意軟體，對美國和阿聯酋的關鍵基礎設施進行有針對性的攻擊

令人擔憂的發展是，伊朗國家資助的駭客組織 Peach Sandstorm 部署了一種名為「 Tickler 」的新型複雜惡意軟體。該組織還以 APT33、Elfin、Holmium、Magnallium 和 Refined Kitten 等各種名稱進行追踪，並加強了其網絡間諜活動，目標是美國和阿拉伯聯合大公國 (UAE) 的關鍵基礎設施。

Table of Contents

桃色沙塵暴不斷演變的威脅

「桃子沙塵暴」以其無情的網路攻擊而聞名，一直是全球安全的眼中釘，特別是在對國防和經濟穩定至關重要的領域。 2023 年末，微軟發現該組織的活動激增，特別是針對美國國防工業基礎的員工。此次升級標誌著一個重大轉變，因為該組織在其營運中利用了新開發的 Tickler 後門。

Tickler 的功能：多級後門

Tickler 並不是普通的惡意軟體；它是一種惡意軟體。它是一個定制的多級後門，設計時考慮到了多功能性。一旦滲透到系統中，Tickler 就允許攻擊者下載額外的惡意負載，從而擴大他們對受感染網路的控制。這個惡意軟體的功能非常廣泛，它可以收集系統資訊、執行任意命令、刪除檔案以及管理受害者係統與攻擊者的命令和控制 (C&C) 伺服器之間的檔案傳輸。

十字準線中的目標：衛星、通訊等

Peach Sandstorm 最新活動的主要目標是作為現代基礎設施支柱的組織——美國和阿聯酋的衛星通訊系統、政府機構以及石油和天然氣公司。這些部門不僅對這些國家的日常運作至關重要，而且具有巨大的戰略重要性，使它們成為情報收集和潛在破壞的主要目標。

社會工程和密碼噴射策略

除了部署 Tickler 惡意軟體外，Peach Sandstorm 也繼續透過 LinkedIn 等平台利用社交工程技術。透過針對敏感行業的專業人士，他們的目的是獲取內幕資訊。此外，據觀察，該組織還進行密碼噴射攻擊，攻擊者在這種方法中使用多個帳戶的通用密碼來獲得未經授權的存取。這些攻擊特別針對美國和澳洲的國防、太空、教育和政府部門的組織。

利用 Azure 基礎架構進行指令與控制

一個複雜的變化是，Peach Sandstorm 一直在使用 Azure 基礎設施，特別是攻擊者控制的詐欺訂閱來進行 C&C 操作。這種策略不僅為他們提供了可靠的基礎設施，而且還使追蹤和關閉他們的活動變得更加困難，因為它們隱藏在合法的雲端服務中。

更廣泛的網路威脅背景

微軟關於 Peach Sandstorm 活動的報告的發布與其他重大網路安全事件的揭露同時發生。同一天，Google雲端的 Mandiant 發布了一份關於伊朗反情報行動的報告，美國政府發布了一份公告，強調伊朗國家支持的行為者與勒索軟體組織之間的合作。這種同步報告強調了來自伊朗的網路威脅的更廣泛、協調性。