Irańscy cyberprzestępcy z nowym backdoorem
APT33, od dawna budzi niepokój ekspertów ds. bezpieczeństwa. A co najgorsze grupa używa obecnie nowego złośliwego oprogramowania, tj. Tickler. To pozwala na precyzyjne i wieloetapowe cyberataki.
Microsoft poinformował, że APT33, znana także jako Peach Sandstorm czy Holmium, skutecznie wykorzystuje Ticklera do ataków na kluczowe sektory w Stanach Zjednoczonych i ZEA. Celem cyberprzestępców są organizacje rządowe, obronne, satelitarne, a także przemysł naftowy i gazowy.
Ataki APT33 na szeroką skalę
Między kwietniem a lipcem 2024 r. Peach Sandstorm przeprowadziło serię cyberataków, w których kluczową rolę odgrywało nowe złośliwe oprogramowanie Tickler.
Grupa APT33 wykorzystywała infrastrukturę Microsoft Azure do przeprowadzania swoich operacji. Cyberprzestępcy zakładali fałszywe subskrypcje usług Microsoft, które później służyły jako serwery dowodzenia i kontroli (C2).
Gdy gigan technologiczny zidentyfikował je, to natychmiast podjął działania, aby zakłócić działanie infrastruktury cyberprzestępców.
APT33 nie ograniczała się jednak jedynie do zaawansowanych cyberataków. Cyberprzestępcy posługiwali się również atakami socjotechnicznymi, aby wyłudzać dane od organizacji W ty, celu korzystali z platformy LinkedIn do nawiązywania kontaktów z pracownikami sektorów obronnych, satelitarnych i edukacyjnych.
Microsoft odnotował, że cyberprzestępcy skoncentrowali się na atakowaniu sektora edukacyjnego poprzez tzw. password spray attack, czyli masowe próby logowania się na różne konta, aby zdobyć dostęp do chronionych systemów.
Cyberprzestępcy zaczynali od uzyskania początkowego dostępu do systemów, po czym wdrażali Ticklera, aby przejąć pełną kontrolę nad zaatakowanymi organizacjami.
Nowe cele ATP33
W trakcie jednej z kampanii APT33 przeprowadziło skuteczny atak na jedną z europejskich organizacji obronnych – nie ujawniono jednak dokładnie jakiej. Po przełamaniu początkowych zabezpieczeń cyberprzestępcy użyli protokołu Server Message Block (SMB) do lateralnego przemieszczania się w sieci, co pozwoliło im na przejęcie kontroli nad kilkoma systemami jednocześnie.
Microsoft, aby przeciwdziałać zagrożeniom, dostarczył organizacjom IoC oraz porady dotyczące ochrony przed nowymi cyberatakami. Gigant wskazał też na konieczność stałego monitorowania infrastruktury oraz szybkiego reagowania na podejrzane aktywności, aby zapobiec poważnym konsekwencjom ataków cybernetycznych.
APT33, poprzez swoją zdolność do adaptacji i innowacji, pozostaje jednym z najpoważniejszych zagrożeń w świecie cyberprzestępczości. A nowo wprowadzone oprogramowanie Tickler to tylko kolejny dowód na ich nieustającą aktywność i determinację.
