微软观察到伊朗 APT 组织使用 Tickler 恶意软件攻击卫星设备
- 浏览次数 289
- 喜欢 0
微软的网络安全研究人员最近发现,隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。
该组织攻击卫星设备是因为它们对于军事和全球通信等现代设施至关重要。此类攻击的实施者可以通过破坏卫星系统来利用它,从而破坏通信和数据泄露,并影响导航和计时信息。
这种定制恶意软件袭击了美国和阿联酋的卫星、通信、石油或天然气以及政府行业。
技术分析
Peach Sandstorm 冒充“go-http-client”用户代理,对数千个组织发起密码喷洒攻击,主要针对美国和澳大利亚的国防、航天、教育和政府部门。
该组织还通过 LinkedIn 使用虚假的俄罗斯和西方个人资料进行情报收集,以便联系美国人和西欧人并为他们制定商业提案。
经过深度攻击后,他们还使用虚假的 Azure订阅来获取其他 C&C 服务。
微软注意到多个领域都存在此类活动,并且公司直接联系了那些受到影响的客户。
Microsoft Threat Intelligence 发现了两个 Tickler 恶意软件样本,它们由 Peach Sandstorm 于 2024 年 7 月部署。
第一个样本伪装成 PDF,这是一个 64 位 C/C++ PE 文件,使用 PEB 遍历来定位“kernell32.dll”。该样本还收集网络数据并通过 HTTP POST 将其发送到 C2 服务器。
Peach Sandstorm 攻击链(来源 – 微软)
Tickler 恶意软件的第二个样本 sold.dll 下载了额外的有效负载,包括用于 DLL 侧加载的合法 Windows 二进制文件(msvcp140.dll、LoggingPlatform.dll、vcruntime140.dll、Microsoft.SharePoint.NativeMessaging.exe)以及能够执行各种命令(如 systeminfo、dir、run、delete、upload、download)的恶意 DLL。
Peach Sandstorm 通过创建具有学生订阅的 Azure 租户(通过新帐户和破坏现有的教育部门帐户)建立了 C2 基础设施。
他们设置了多个 azurewebsites[.]net 域作为 C2 节点,其他伊朗组织(如 Smoke Sandstorm)也采用了这种策略。
Peach Sandstorm事件活动包括:
- 欧洲防御组织中的横向 SMB 运动。
- 在一家制药公司遭遇密码泄露后,尝试安装 AnyDesk。
- 中东卫星运营商通过 Microsoft Teams 上的恶意 ZIP 捕获 AD 快照。
这些技术使 Peach Sandstorm 能够扩大访问权限、保持持久性并在受感染的网络中收集敏感数据。
缓解措施:
- 重置密码、撤销会话 cookie 并撤消攻击者 MFA 更改。
- 实施 Azure 安全基准,阻止旧式身份验证并强制执行 MFA。
- 保护具有最小权限的帐户,使用 Entra Connect Health 进行监控,并使用密码保护。
- 启用云和实时保护、EDR 阻止模式和防篡改保护。
- 教育用户有关登录安全性并过渡到无密码身份验证。
转自安全内参,原文链接:https://mp.weixin.qq.com/s/yYyjB8B6JVd_vbC2wfmQeg
封面来源于网络,如有侵权请联系删除