ทีม Threat Intelligence ของ Microsoft ได้เปิดเผยพัฒนาการที่น่ากังวลในด้านความปลอดภัยทางไซเบอร์ กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐอิหร่านที่รู้จักกันในชื่อ Peach Sandstorm (หรือเรียกอีกชื่อว่า APT 33) ถูกพบว่ากำลังใช้มัลแวร์ใหม่ที่ซับซ้อนชื่อ Tickler เพื่อแทรกซึมเข้าสู่องค์กรในภาคอุตสาหกรรมอวกาศและการสื่อสารผ่านดาวเทียม
ธงชาติอิหร่านถูกนำเสนอใหม่ผ่านมุมมองดิจิทัล สื่อถึงกิจกรรมทางไซเบอร์ของประเทศและผลกระทบต่อความมั่นคงในภาคอวกาศ |
ภัยคุกคามใหม่ปรากฏขึ้น
Tickler แสดงถึงวิวัฒนาการที่สำคัญในคลังแสงของ Peach Sandstorm มัลแวร์ประเภท backdoor หลายขั้นตอนที่สร้างขึ้นเองนี้ช่วยให้แฮกเกอร์สามารถเข้าถึงเครือข่ายของเหยื่อจากระยะไกล ซึ่งอาจส่งผลให้ข้อมูลที่ละเอียดอ่อนและโครงสร้างพื้นฐานถูกบุกรุก นักวิจัยของ Microsoft ตรวจพบการใช้ Tickler กับเป้าหมายในอุตสาหกรรมดาวเทียม อุปกรณ์สื่อสาร และน้ำมันและก๊าซ รวมถึงหน่วยงานรัฐบาลในสหรัฐอเมริกาและสหรัฐอาหรับเอมิเรตส์
กลยุทธ์เก่าและใหม่
ในขณะที่ Tickler แสดงให้เห็นถึงความสามารถทางเทคนิคที่เพิ่มขึ้นของ Peach Sandstorm กลุ่มนี้ยังคงพึ่งพาวิธีการที่ใช้ได้ผลมาแล้ว:
- การโจมตีแบบ Password Spraying: แฮกเกอร์พยายามเจาะบัญชีจำนวนมากโดยใช้รหัสผ่านที่พบบ่อยหรือรั่วไหล
- การหลอกลวงทางสังคม: ใช้โปรไฟล์ LinkedIn ปลอมเพื่อรวบรวมข้อมูลและอาจจะหลอกลวงเป้าหมาย
- การใช้โครงสร้างพื้นฐานคลาวด์ในทางที่ผิด: ใช้บัญชีการศึกษาที่ถูกบุกรุกเพื่อตั้งค่าโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) บน Azure
ผลกระทบต่อความมั่นคงระดับโลก
การมุ่งเน้นไปที่การสื่อสารผ่านดาวเทียมและเป้าหมายที่เกี่ยวข้องกับอวกาศนั้นน่ากังวลเป็นพิเศษ Sherrod DeGrippo ผู้อำนวยการฝ่ายข่าวกรองภัยคุกคามของ Microsoft สังเกตว่านี่ไม่ใช่ครั้งแรกที่ Peach Sandstorm มุ่งเป้าไปที่ภาคอวกาศ ซึ่งบ่งชี้ถึงความสนใจอย่างต่อเนื่องในพื้นที่สำคัญนี้
การป้องกันภัยคุกคาม
Microsoft ได้ดำเนินการเพื่อลดความเสี่ยงจาก Tickler และกิจกรรมอื่นๆ ของ Peach Sandstorm:
- แจ้งเตือนลูกค้าที่ได้รับผลกระทบ
- ลบโปรไฟล์ LinkedIn ที่เป็นอันตราย
- บังคับใช้การยืนยันตัวตนหลายปัจจัย (MFA) สำหรับผู้ดูแลระบบ Azure (ตั้งแต่เดือนกรกฎาคม 2024)
- วางแผนใช้ MFA กับบัญชี Azure ทั้งหมด (ภายในเดือนตุลาคม 2024)
ในขณะที่กิจกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐอิหร่านยังคงพัฒนาต่อไป การเฝ้าระวังและการปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่งยังคงมีความสำคัญอย่างยิ่งสำหรับองค์กรในภาคส่วนที่เป็นเป้าหมาย การค้นพบ Tickler เป็นเครื่องเตือนใจที่ชัดเจนถึงลักษณะที่คงอยู่และปรับตัวได้ของภัยคุกคามทางไซเบอร์ในปัจจุบัน