Tickler: пропуск иранских шпионов к секретам США и ОАЭ

Безопасный VPN через Телеграмм – обойди все блокировки:

Peach Sandstorm атакуют нефтегаз и спутники с новым бэкдором.

Эксперты из Microsoft обнаружили, что группировка Peach Sandstorm , связанная с иранскими властями, применяет новый бэкдор под названием Tickler в атаках на спутниковую связь, нефтегазовый сектор, органы государственной власти США и Объединенных Арабских Эмиратов.

Согласно отчету корпорации, хакеры из Peach Sandstorm применяют этот многоступенчатый вредонос начиная с апреля 2024 года. Программа собирает различную сетевую информацию с зараженных машин и отправляет её на командные сервера злоумышленников.

Первый образец Tickler был обнаружен в архивном файле “Network Security.zip” вместе с двумя безвредными PDF-документами. Атака начинается с поиска в памяти адреса библиотеки kernel32.dll. Затем, расшифровывая строки, вирус загружает её снова и запускает в качестве приманки легитимный PDF-файл “YAHSAT NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20240421.pdf”. При этом Tickler собирает данные о сети жертвы и отправляет их на командный сервер по протоколу HTTP.

Второй образец Tickler имеет функциональность, аналогичную первому. Он загружает с командного сервера дополнительные полезные нагрузки, в том числе легитимные DLL-библиотеки. Также он устанавливает постоянную связь с сервером через созданный в Azure ресурс.

Эксперты Microsoft обнаружили, что Peach Sandstorm использует украденные учетные данные пользователей образовательных организаций для создания своей инфраструктуры в Azure. Таким образом хакеры получают законный доступ к облачным ресурсам и используют их для развёртывания командных серверов.

Купи VPN в России за минуту через наш Телеграмм-бот:

Помимо применения Tickler, Peach Sandstorm также продолжает атаковать образовательный, спутниковый, оборонный и государственный сектора методом перебора паролей. По словам аналитиков, в апреле-мае 2024 года хакеры по-прежнему использовали пользовательский агент “go-http-client”, характерный для их предыдущих кампаний.

Интересно, что облачными ресурсами в последние месяцы злоупотребляли и другие иранские группировки, такие как Smoke Sandstorm.

  Аномальное ускорение Оумуамуа: является ли межзвёздный объект искусственным?

Хакеры Peach Sandstorm также известны тем, что после компрометации организаций они проводят латеральное движение по сети, используя протокол SMB, и пытаются установить на зараженных системах программы удаленного доступа, например AnyDesk. Кроме того, как отмечают исследователи, в ходе одной из интрузий против спутникового оператора на Ближнем Востоке, Peach Sandstorm использовали утилиту AD Explorer для создания снимка Active Directory.

Чтобы защитить свои системы от деятельности Peach Sandstorm, эксперты рекомендуют регулярно менять пароли учетных записей, подвергшихся атакам, отозвать сессионные cookie, а также, если у скомпрометированной учетной записи были привилегии системного уровня, провести дополнительный анализ.

Кроме того, стоит внедрить политики условного доступа в Azure, чтобы ограничить доступ к среде в зависимости от заданных критериев, а также заблокировать устаревшие протоколы, не поддерживающие многофакторную аутентификацию. Для защиты конечных точек рекомендуется включить в Microsoft Defender for Endpoint режим блокировки, чтобы программа могла самостоятельно блокировать вредоносные артефакты, даже если другие антивирусы их не видят.

Обнаруженные индикаторы компрометации, такие как вредоносные файлы и командные серверы Azure, могут помочь в охоте за угрозами в корпоративной сети. Кроме того, Microsoft предоставляет запросы Defender XDR для выявления связанной активности. В Microsoft Sentinel также доступны аналитические правила для автоматического сопоставления IoC из этого отчета с данными клиента.

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
  Убийца Windows: CVE-2024-38106 даёт хакерам доступ прямо к ядру системы

Добавить комментарий

Вернуться наверх