导 读
微软的网络安全研究人员最近发现,隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。
该组织攻击卫星设备是因为它们对于军事和全球通信等现代设施至关重要。此类攻击的实施者可以通过破坏卫星系统来利用它,从而破坏通信和数据泄露,并影响导航和计时信息。
这种定制恶意软件袭击了美国和阿联酋的卫星、通信、石油或天然气以及政府行业。
技术分析
Peach Sandstorm 冒充“go-http-client”用户代理,对数千个组织发起密码喷洒攻击,主要针对美国和澳大利亚的国防、航天、教育和政府部门。
该组织还通过 LinkedIn 使用虚假的俄罗斯和西方个人资料进行情报收集,以便联系美国人和西欧人并为他们制定商业提案。
经过深度攻击后,他们还使用虚假的 Azure订阅来获取其他 C&C 服务。
微软注意到多个领域都存在此类活动,并且公司直接联系了那些受到影响的客户。
Microsoft Threat Intelligence 发现了两个 Tickler 恶意软件样本,它们由 Peach Sandstorm 于 2024 年 7 月部署。
第一个样本伪装成 PDF,这是一个 64 位 C/C++ PE 文件,使用 PEB 遍历来定位“kernell32.dll”。该样本还收集网络数据并通过 HTTP POST 将其发送到 C2 服务器。
Peach Sandstorm 攻击链(来源 – 微软)
Tickler 恶意软件的第二个样本 sold.dll 下载了额外的有效负载,包括用于 DLL 侧加载的合法 Windows 二进制文件(msvcp140.dll、LoggingPlatform.dll、vcruntime140.dll、Microsoft.SharePoint.NativeMessaging.exe)以及能够执行各种命令(如 systeminfo、dir、run、delete、upload、download)的恶意 DLL。
Peach Sandstorm 通过创建具有学生订阅的 Azure 租户(通过新帐户和破坏现有的教育部门帐户)建立了 C2 基础设施。
他们设置了多个 azurewebsites[.]net 域作为 C2 节点,其他伊朗组织(如 Smoke Sandstorm)也采用了这种策略。
Peach Sandstorm事件活动包括:
-
欧洲防御组织中的横向 SMB 运动。
-
在一家制药公司遭遇密码泄露后,尝试安装 AnyDesk。
-
中东卫星运营商通过 Microsoft Teams 上的恶意 ZIP 捕获 AD 快照。
这些技术使 Peach Sandstorm 能够扩大访问权限、保持持久性并在受感染的网络中收集敏感数据。
缓解措施:
-
重置密码、撤销会话 cookie 并撤消攻击者 MFA 更改。
-
实施 Azure 安全基准,阻止旧式身份验证并强制执行 MFA。
-
保护具有最小权限的帐户,使用 Entra Connect Health 进行监控,并使用密码保护。
-
启用云和实时保护、EDR 阻止模式和防篡改保护。
-
教育用户有关登录安全性并过渡到无密码身份验证。
技术报告:https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations/
新闻链接:
https://cybersecuritynews.com/tickler-malware/
今日安全资讯速递
APT事件
Advanced Persistent Threat
微软警告称,朝鲜黑客利用 Chrome 0day漏洞部署 rootkit
https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-chrome-zero-day-to-deploy-rootkit/
谷歌发现俄罗斯 APT 重复利用间谍软件开发商 NSO Group 和 Intellexa 的漏洞
https://www.securityweek.com/google-catches-russian-apt-re-using-exploits-from-spyware-merchants-nso-group-intellexa/
在针对中国的钓鱼活动中发现了针对 Windows 的新型攻击
https://www.theregister.com/2024/09/02/securonix_china_slowtempest_campaign/
微软观察到伊朗APT组织使用 Tickler 恶意软件攻击卫星设备
https://cybersecuritynews.com/tickler-malware/
黑客利用伪造的 Palo Alto VPN工具瞄准中东
https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html
伊朗“狐狸小猫”组织对美国目标发动勒索软件攻击
https://www.darkreading.com/threat-intelligence/irans-fox-kitten-group-aids-ransomware-attacks-on-us-targets
朝鲜黑客利用恶意 npm 软件包攻击软件开发者
https://thehackernews.com/2024/08/north-korean-hackers-target-developers.html
深入剖析针对中国用户的 SLOW#TEMPEST 攻击活动
https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html
未知黑客组织利用 Google Sheets 控制恶意软件,可能进行间谍活动
https://thehackernews.com/2024/08/cyberattackers-exploit-google-sheets.html
一般威胁事件
General Threat Incidents
模仿“noblox.js”的恶意 npm 软件包危害 Roblox 开发人员的系统
https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html
Mac 恶意软件会伪装成合法应用程序来窃取你的数据和现金
https://www.foxnews.com/tech/sneaky-malware-after-your-passwords-personal-data
恶意软件僵尸网络利用易受攻击的 AVTECH IP 摄像机
https://latesthackingnews.com/2024/09/01/malware-botnet-exploits-vulnerable-avtech-ip-cameras/
多伦多学校董事会确认学生信息被盗
https://therecord.media/toronto-school-district-board-ransomware
伦敦交通局披露正在发生的“网络安全事件”
https://www.bleepingcomputer.com/news/security/transport-for-london-discloses-ongoing-cyber-security-incident/
CBIZ 福利与保险服务公司 (CBIZ)披露客户数据泄露事件
https://www.bleepingcomputer.com/news/security/business-services-giant-cbiz-discloses-customer-data-breach/
美国机构警告勒索软件组织近几个月来发动了数百次攻击
https://therecord.media/agencies-warn-against-ransomhub-group
RansomHub 勒索软件组织瞄准关键行业中的 210 名受害者
https://thehackernews.com/2024/09/ransomhub-ransomware-group-targets-210.html
勒索软件团伙重创东南亚
https://www.darkreading.com/cyber-risk/ransomware-gangs-pummel-southeast-asia
新版 Cicada 勒索软件的 Linux 版本瞄准 VMware ESXi 服务器
https://www.bleepingcomputer.com/news/security/linux-version-of-new-cicada-ransomware-targets-vmware-esxi-servers/
研究人员称,柬埔寨诈骗巨头自 2021 年以来处理了 490 亿美元的加密货币交易
https://therecord.media/cambodian-scam-giant-handled-billions-in-transactions
漏洞事件
Vulnerability Incidents
Godzilla 无文件后门利用 Atlassian Confluence 漏洞 CVE-2023-22527
https://cybersecuritynews.com/godzilla-fileless-backdoor-exploits/
卡巴斯基发现开源项目 Suricata 和 FreeRDP 中存在七个漏洞
https://alalamelyoum.co/169364/
研究人员发现 SQL 注入可绕过机场 TSA 安全检查
https://www.bleepingcomputer.com/news/security/researchers-find-sql-injection-to-bypass-airport-tsa-security-checks/
Fortra 修补 FileCatalyst 工作流中的严重漏洞
https://www.securityweek.com/fortra-patches-critical-vulnerability-in-filecatalyst-workflow/
企业网络监控和管理解决方案 WhatsUp Gold 存在严重缺陷,导致系统面临全面攻击
https://www.securityweek.com/critical-flaws-in-progress-software-whatsup-gold-expose-systems-to-full-compromise/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):微软观察到伊朗APT组织使用 Tickler 恶意软件攻击卫星设备
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论