Tickler Malware
イランの国家支援を受ける脅威アクターが、米国とアラブ首長国連邦の組織を標的とした攻撃に、新たに開発されたカスタムバックドアを使用しています。Peach SandstormやRefined Kittenとしても知られるハッキンググループAPT33は、現在Ticklerとして追跡されている、これまで知られていなかったマルウェアを展開し、政府、防衛、衛星、石油・ガス部門の組織のネットワークを侵害しています。研究者によると、イランのイスラム革命防衛隊(IRGC)の傘下で活動するこのグループは、2024年4月から7月にかけて諜報活動キャンペーンでこのマルウェアを使用しました。これらの攻撃中、ハッカーはコマンドアンドコントロール(C2)操作にMicrosoft Azureインフラストラクチャを利用し、その後同社によって中断された不正なAzureサブスクリプションに依存していました。
目次
攻撃作戦の標的となった重要なセクター
2024 年 4 月から 5 月にかけて、APT33 はパスワード スプレー攻撃を成功させ、防衛、宇宙、教育、政府部門の組織を標的にしました。これらの攻撃では、アカウント ロックアウトを回避するために、一般的に使用される限られたパスワード セットを使用して複数のアカウントにアクセスしようとしました。
パスワード スプレーの活動はさまざまな分野で確認されましたが、研究者は、Peach Sandstorm が特に教育分野の侵害されたユーザー アカウントを悪用して運用インフラストラクチャを確立したことを指摘しました。脅威アクターは、インフラストラクチャをホストするために、既存の Azure サブスクリプションにアクセスするか、侵害されたアカウントを使用して新しいサブスクリプションを作成しました。その後、この Azure インフラストラクチャは、政府、防衛、宇宙分野を標的としたさらなる操作に使用されました。
過去 1 年間、Peach Sandstorm はカスタム開発されたツールを使用して、これらのセクター内の複数の組織への侵入に成功しました。
Tickler マルウェアがさらなるマルウェア脅威の舞台を整える
Tickler は、攻撃者が侵入したシステムに追加のマルウェアをインストールできるようにするカスタムの多段階バックドアとして特定されています。Microsoft によると、Tickler にリンクされた悪意のあるペイロードは、システム情報を収集し、コマンドを実行し、ファイルを削除し、コマンド アンド コントロール (C&C) サーバーとの間でファイルをダウンロードまたはアップロードできます。
過去のAPT33サイバー犯罪キャンペーン
2023年11月、イランの脅威グループは同様の戦術を採用し、世界中の防衛請負業者のネットワークに侵入し、FalseFontバックドアマルウェアを展開しました。その数か月前に、研究者は、2023年2月以来、大規模なパスワードスプレー攻撃を通じて世界中の何千もの組織を標的にし、防衛、衛星、製薬セクターで侵害を引き起こした別のAPT33キャンペーンについて警告を発していました。
フィッシングやアカウントハイジャックに対するセキュリティを強化するため、Microsoft は 10 月 15 日からすべての Azure サインイン試行に多要素認証 (MFA) が必須になると発表しました。
バックドアマルウェアは被害者に深刻な結果をもたらす可能性がある
バックドア マルウェアは、侵害されたシステムへの不正アクセスを提供することで、個人ユーザーと組織の両方に重大なリスクをもたらします。バックドア マルウェアがインストールされると、隠れたエントリ ポイントが作成され、攻撃者は従来のセキュリティ対策を回避して被害者のネットワークを制御できるようになります。このアクセス権限の昇格は、さまざまな深刻な結果につながる可能性があります。
まず、バックドア マルウェアにより、攻撃者は個人情報、財務記録、知的財産などの機密情報を収集できます。収集されたデータは、個人情報の盗難、金融詐欺、企業スパイ活動に使用される可能性があります。さらに、マルウェアは、重要なファイルを暗号化し、その解除と引き換えに身代金を要求するランサムウェアなどの追加の悪意のあるソフトウェアのインストールを可能にすることで、さらなる攻撃を容易にします。
第二に、バックドア マルウェアはシステムの整合性を損ない、運用を妨害する可能性があります。攻撃者は重要なファイルを操作または削除し、システム構成を改ざんし、セキュリティ ツールを無効にし、運用停止や多大な経済的損失を引き起こす可能性があります。この妨害は、医療、金融、エネルギーなどの重要なインフラストラクチャ セクターにとって特に大きな損害をもたらす可能性があり、システム停止は公共の安全とサービスに影響を及ぼす可能性があります。
さらに、バックドア マルウェアは、秘密裏に監視やスパイ活動を行うためによく使用されます。攻撃者は、被害者に知られることなく、ユーザーのアクティビティを監視したり、キー入力をキャプチャしたり、Web カメラのフィードにアクセスしたりできるため、プライバシーや機密情報の侵害につながります。
要約すると、バックドア マルウェアは、データ セキュリティ、運用の整合性、プライバシーを損なうことで、重大なリスクをもたらします。永続的な不正アクセスを提供する能力があるため、その影響を軽減するには、強力なセキュリティ対策と注意深い監視を必要とする強力な脅威となります。