Tickler: пропуск иранских шпионов к секретам США и ОАЭ

Эксперты из Microsoft обнаружили, что группировка Peach Sandstorm , связанная с иранскими властями, применяет новый бэкдор под названием Tickler в атаках на спутниковую связь, нефтегазовый сектор, органы государственной власти США и Объединенных Арабских Эмиратов.

Согласно отчету корпорации, хакеры из Peach Sandstorm применяют этот многоступенчатый вредонос начиная с апреля 2024 года. Программа собирает различную сетевую информацию с зараженных машин и отправляет её на командные сервера злоумышленников.

Первый образец Tickler был обнаружен в архивном файле "Network Security.zip" вместе с двумя безвредными PDF-документами. Атака начинается с поиска в памяти адреса библиотеки kernel32.dll. Затем, расшифровывая строки, вирус загружает её снова и запускает в качестве приманки легитимный PDF-файл "YAHSAT NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20240421.pdf". При этом Tickler собирает данные о сети жертвы и отправляет их на командный сервер по протоколу HTTP.

Второй образец Tickler имеет функциональность, аналогичную первому. Он загружает с командного сервера дополнительные полезные нагрузки, в том числе легитимные DLL-библиотеки. Также он устанавливает постоянную связь с сервером через созданный в Azure ресурс.

Эксперты Microsoft обнаружили, что Peach Sandstorm использует украденные учетные данные пользователей образовательных организаций для создания своей инфраструктуры в Azure. Таким образом хакеры получают законный доступ к облачным ресурсам и используют их для развёртывания командных серверов.

Помимо применения Tickler, Peach Sandstorm также продолжает атаковать образовательный, спутниковый, оборонный и государственный сектора методом перебора паролей. По словам аналитиков, в апреле-мае 2024 года хакеры по-прежнему использовали пользовательский агент "go-http-client", характерный для их предыдущих кампаний.

Интересно, что облачными ресурсами в последние месяцы злоупотребляли и другие иранские группировки, такие как Smoke Sandstorm.

Хакеры Peach Sandstorm также известны тем, что после компрометации организаций они проводят латеральное движение по сети, используя протокол SMB, и пытаются установить на зараженных системах программы удаленного доступа, например AnyDesk. Кроме того, как отмечают исследователи, в ходе одной из интрузий против спутникового оператора на Ближнем Востоке, Peach Sandstorm использовали утилиту AD Explorer для создания снимка Active Directory.

Чтобы защитить свои системы от деятельности Peach Sandstorm, эксперты рекомендуют регулярно менять пароли учетных записей, подвергшихся атакам, отозвать сессионные cookie, а также, если у скомпрометированной учетной записи были привилегии системного уровня, провести дополнительный анализ.

Кроме того, стоит внедрить политики условного доступа в Azure, чтобы ограничить доступ к среде в зависимости от заданных критериев, а также заблокировать устаревшие протоколы, не поддерживающие многофакторную аутентификацию. Для защиты конечных точек рекомендуется включить в Microsoft Defender for Endpoint режим блокировки, чтобы программа могла самостоятельно блокировать вредоносные артефакты, даже если другие антивирусы их не видят.

Обнаруженные индикаторы компрометации, такие как вредоносные файлы и командные серверы Azure, могут помочь в охоте за угрозами в корпоративной сети. Кроме того, Microsoft предоставляет запросы Defender XDR для выявления связанной активности. В Microsoft Sentinel также доступны аналитические правила для автоматического сопоставления IoC из этого отчета с данными клиента.