如果您不阻止，Tickler 惡意軟體將收集英特爾信息

新的、複雜的惡意軟體的出現是一個持續的挑戰。 Tickler 惡意軟體就是此類威脅之一。雖然這個名字聽起來無傷大雅，但 Tickler 卻絕非微不足道。它是一個由國家資助的知名威脅行為者在有針對性的網路攻擊中使用的強大工具，為全球各行業帶來了重大風險。

Table of Contents

什麼是 Tickler 惡意軟體？

Tickler 是客製化設計的後門惡意軟體，由 Microsoft 追蹤的威脅組織 Peach Sandstorm 開發和部署。該組織也以各種別名而聞名，例如 APT33、Elfin、Holmium、Magnallium 和 Refined Kitten。據信該組織得到了伊朗政府的支持。它有針對關鍵部門的網路間諜活動的歷史，特別是在美國和阿拉伯聯合大公國（UAE）。

Tickler 於 2023 年底首次被發現，它不僅僅是另一款惡意軟體，它代表了一種複雜的、多階段的網路攻擊方法。該後門主要用於針對衛星通訊、政府機構以及石油和天然氣公司等行業的情報收集操作。這些部門通常是國家安全和基礎設施的支柱，使其成為網路間諜活動的主要目標。

Tickler 惡意軟體如何運作？

Tickler 的功能既複雜又危險。一旦它滲透到系統中，它就會與命令和控制 (C&C) 伺服器建立隱藏的通訊通道。此連線允許攻擊者遠端執行各種惡意活動。

該惡意軟體的功能包括：

資訊收集：Tickler 可以收集有關受感染系統的詳細信息，包括其配置、網路設定和使用者資料。
命令執行：它允許攻擊者在受感染的電腦上執行命令，這些命令可用於更改系統設定、操縱檔案或進一步危害網路。
文件管理：惡意軟體可以在受感染系統和 C&C 伺服器之間上傳或下載文件，從而促進敏感資料被盜或引入其他惡意軟體元件。
文件刪除：Tickler 可以刪除受感染系統上的文件，從而可能擦除入侵證據或破壞關鍵操作。

Microsoft 的研究表明，Peach Sandstorm 將 Tickler 用於一項廣泛的策略，其中包括社會工程攻擊，特別是透過 LinkedIn 等平台進行攻擊。威脅行為者經常試圖欺騙目標行業的員工洩露敏感資訊或在不知情的情況下安裝惡意軟體。

此外，該組織還被發現使用密碼噴射攻擊，即透過系統地嘗試跨多個帳戶的常用密碼來嘗試獲得對系統的未經授權的存取。這些攻擊針對的是美國和澳洲的國防、太空、教育和政府部門的組織。

保護您的組織免受 Tickler 惡意軟體的侵害

鑑於其先進的功能和國家資助團體的支持，Tickler 構成了嚴重的威脅。但是，組織可以採取一些措施來保護自己免受此類網路威脅和類似的網路威脅。

加強密碼策略：實施強而獨特的密碼並強制定期更改密碼可以幫助降低密碼噴射攻擊的風險。多重身份驗證 (MFA) 增加了另一個安全層。
增強員工意識：教育員工了解社會工程的危險，尤其是在 LinkedIn 等專業網路平台。關於識別網路釣魚企圖和可疑行為的定期訓練課程可以降低成功攻擊的可能性。
監控異常活動：使用網路監控工具來偵測異常資料流或系統行為，這些行為可能意味著存在 Tickler 等惡意軟體。如果您想最大程度地減少攻擊的影響，早期偵測至關重要。
安全通訊通道：加密並保護所有通訊通道，尤其是涉及敏感資訊的通訊通道。這降低了威脅行為者成功攔截資料的可能性。
定期更新和修補系統：保持軟體和系統最新是針對多種類型惡意軟體（包括 Tickler 等自訂威脅）的基本而有效的防禦措施。定期應用安全修補程式可以消除攻擊者可能利用的已知漏洞。