Tickler-Malware
Ein vom iranischen Staat gesponserter Bedrohungsakteur hat bei Angriffen auf Organisationen in den Vereinigten Staaten und den Vereinigten Arabischen Emiraten eine neu entwickelte, maßgeschneiderte Hintertür eingesetzt. Die Hackergruppe APT33 , auch bekannt als Peach Sandstorm und Refined Kitten, hat bisher unbekannte Schadsoftware, jetzt als Tickler verfolgt, eingesetzt, um Netzwerke von Organisationen in den Bereichen Regierung, Verteidigung, Satelliten, Öl und Gas zu kompromittieren. Forschern zufolge setzte diese Gruppe, die unter dem Korps der iranischen Islamischen Revolutionsgarde (IRGC) operiert, die Schadsoftware zwischen April und Juli 2024 in einer Informationsbeschaffungskampagne ein. Bei diesen Angriffen nutzten die Hacker die Microsoft Azure-Infrastruktur für Command-and-Control (C2)-Operationen und verließen sich dabei auf betrügerische Azure-Abonnements, die das Unternehmen inzwischen gekündigt hat.
Inhaltsverzeichnis
Wichtige Sektoren im Visier der Angriffsoperation
Zwischen April und Mai 2024 zielte APT33 mit erfolgreichen Passwort-Spray-Angriffen auf Organisationen in den Bereichen Verteidigung, Raumfahrt, Bildung und Regierung ab. Bei diesen Angriffen versuchte man, mit einer begrenzten Anzahl häufig verwendeter Passwörter auf mehrere Konten zuzugreifen, um Kontosperrungen zu vermeiden.
Obwohl die Passwort-Spray-Aktivität in verschiedenen Sektoren beobachtet wurde, stellten die Forscher fest, dass Peach Sandstorm speziell kompromittierte Benutzerkonten im Bildungssektor ausnutzte, um ihre Betriebsinfrastruktur aufzubauen. Die Bedrohungsakteure griffen entweder auf vorhandene Azure-Abonnements zu oder erstellten neue, indem sie die kompromittierten Konten nutzten, um ihre Infrastruktur zu hosten. Diese Azure-Infrastruktur wurde dann in weiteren Operationen eingesetzt, die auf den Regierungs-, Verteidigungs- und Weltraumsektor abzielten.
Im vergangenen Jahr ist es Peach Sandstorm mithilfe speziell entwickelter Tools gelungen, mehrere Organisationen dieser Sektoren zu infiltrieren.
Tickler-Malware bereitet den Boden für weitere Malware-Bedrohungen
Tickler ist eine benutzerdefinierte, mehrstufige Hintertür, die es Angreifern ermöglicht, zusätzliche Malware auf infizierten Systemen zu installieren. Laut Microsoft können die mit Tickler verknüpften schädlichen Payloads Systeminformationen sammeln, Befehle ausführen, Dateien löschen und Dateien von und zu einem Command and Control (C&C)-Server herunterladen oder hochladen.
Frühere APT33-Cybercrime-Kampagnen
Im November 2023 setzte die iranische Bedrohungsgruppe eine ähnliche Taktik ein, um in die Netzwerke von Rüstungsunternehmen weltweit einzudringen, und setzte dabei die Backdoor-Malware FalseFont ein. Ein paar Monate zuvor hatten Forscher vor einer weiteren APT33-Kampagne gewarnt, die seit Februar 2023 mit umfangreichen Passwort-Spray-Angriffen auf Tausende von Organisationen weltweit abzielte und zu Einbrüchen in den Bereichen Verteidigung, Satelliten und Pharma führte.
Um die Sicherheit gegen Phishing und Account-Hijacking zu erhöhen, kündigte Microsoft an, dass ab dem 15. Oktober die Multi-Faktor-Authentifizierung (MFA) für alle Azure-Anmeldeversuche obligatorisch sei.
Backdoor-Malware kann für Opfer schwerwiegende Folgen haben
Backdoor-Malware stellt sowohl für einzelne Benutzer als auch für Organisationen ein erhebliches Risiko dar, da sie unbefugten Zugriff auf kompromittierte Systeme ermöglicht. Nach der Installation erstellt Backdoor-Malware versteckte Einstiegspunkte, die es Angreifern ermöglichen, herkömmliche Sicherheitsmaßnahmen zu umgehen und Kontrolle über das Netzwerk eines Opfers zu erlangen. Dieser erweiterte Zugriff kann eine Reihe schwerwiegender Folgen haben.
Erstens ermöglicht Backdoor-Malware Angreifern, vertrauliche Informationen wie persönliche Daten, Finanzunterlagen und geistiges Eigentum zu sammeln. Diese gesammelten Daten können für Identitätsdiebstahl, Finanzbetrug oder Wirtschaftsspionage verwendet werden. Darüber hinaus kann die Malware weitere Angriffe erleichtern, indem sie die Installation zusätzlicher Schadsoftware ermöglicht, darunter Ransomware, die wichtige Dateien verschlüsseln und für ihre Freigabe ein Lösegeld verlangen kann.
Zweitens kann Backdoor-Malware die Systemintegrität gefährden und den Betrieb stören. Angreifer können wichtige Dateien manipulieren oder löschen, Systemkonfigurationen manipulieren und Sicherheitstools deaktivieren, was zu Betriebsausfällen und erheblichen finanziellen Verlusten führt. Diese Störungen können besonders schädlich für kritische Infrastruktursektoren wie das Gesundheitswesen, den Finanzsektor und den Energiesektor sein, wo Systemausfälle die öffentliche Sicherheit und Dienstleistungen beeinträchtigen können.
Darüber hinaus erleichtert Backdoor-Malware häufig die verdeckte Überwachung und Spionage. Angreifer können Benutzeraktivitäten überwachen, Tastatureingaben aufzeichnen und ohne das Wissen des Opfers auf Webcam-Feeds zugreifen, was zu Verletzungen der Privatsphäre und vertraulicher Informationen führen kann.
Zusammenfassend lässt sich sagen, dass Backdoor-Malware ernsthafte Risiken birgt, da sie die Datensicherheit, die Betriebsintegrität und den Datenschutz untergräbt. Da sie dauerhaft unbefugten Zugriff ermöglicht, stellt sie eine potenzielle Bedrohung dar, die robuste Sicherheitsmaßnahmen und eine aufmerksame Überwachung erfordert, um ihre Auswirkungen einzudämmen.