Tickler Malware
Un actor de amenazas patrocinado por el estado iraní ha estado empleando una puerta trasera personalizada recientemente desarrollada en ataques dirigidos a organizaciones en los Estados Unidos y los Emiratos Árabes Unidos. El grupo de piratas informáticos APT33 , también conocido como Peach Sandstorm y Refined Kitten, ha implementado un malware previamente desconocido, ahora rastreado como Tickler, para comprometer las redes de organizaciones en los sectores gubernamental, de defensa, satelital, de petróleo y gas. Según los investigadores, este grupo, que opera bajo el Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), utilizó el malware en una campaña de recopilación de inteligencia entre abril y julio de 2024. Durante estos ataques, los piratas informáticos utilizaron la infraestructura de Microsoft Azure para operaciones de Comando y Control (C2), apoyándose en suscripciones fraudulentas de Azure que desde entonces han sido interrumpidas por la empresa.
Tabla de contenido
Sectores cruciales que fueron blanco de la operación de ataque
Entre abril y mayo de 2024, APT33 atacó a organizaciones de los sectores de defensa, espacio, educación y gobierno mediante exitosos ataques de rociado de contraseñas. Estos ataques implicaban intentar acceder a varias cuentas utilizando un conjunto limitado de contraseñas de uso común para evitar el bloqueo de cuentas.
Aunque la actividad de rociado de contraseñas se observó en varios sectores, los investigadores notaron que Peach Sandstorm explotó específicamente las cuentas de usuario comprometidas en el sector educativo para establecer su infraestructura operativa. Los actores de la amenaza accedieron a las suscripciones de Azure existentes o crearon otras nuevas utilizando las cuentas comprometidas para alojar su infraestructura. Esta infraestructura de Azure se utilizó luego en otras operaciones dirigidas a los sectores gubernamental, de defensa y espacial.
Durante el año pasado, Peach Sandstorm se ha infiltrado con éxito en varias organizaciones dentro de estos sectores mediante el uso de herramientas desarrolladas a medida.
El malware Tickler prepara el terreno para otras amenazas de malware
Tickler se identifica como una puerta trasera personalizada de varias etapas que permite a los atacantes instalar malware adicional en los sistemas afectados. Según Microsoft, las cargas útiles maliciosas vinculadas a Tickler pueden recopilar información del sistema, ejecutar comandos, eliminar archivos y descargar o cargar archivos hacia y desde un servidor de Comando y Control (C&C).
Campañas anteriores de ciberdelincuencia de APT33
En noviembre de 2023, el grupo iraní de amenazas empleó una táctica similar para vulnerar las redes de los contratistas de defensa a nivel mundial, implementando el malware de puerta trasera FalseFont. Un par de meses antes, los investigadores habían emitido una advertencia sobre otra campaña APT33 que había estado apuntando a miles de organizaciones en todo el mundo a través de extensos ataques de rociado de contraseñas desde febrero de 2023, lo que resultó en vulneraciones en los sectores de defensa, satélite y farmacéutico.
Para mejorar la seguridad contra el phishing y el secuestro de cuentas, Microsoft anunció que a partir del 15 de octubre, la autenticación multifactor (MFA) será obligatoria para todos los intentos de inicio de sesión en Azure.
Un malware de puerta trasera puede tener consecuencias graves para las víctimas
Un malware de puerta trasera plantea riesgos importantes tanto para los usuarios individuales como para las organizaciones al proporcionar acceso no autorizado a los sistemas comprometidos. Una vez instalado, el malware de puerta trasera crea puntos de entrada ocultos que permiten a los atacantes eludir las medidas de seguridad tradicionales y obtener el control de la red de la víctima. Este acceso elevado puede provocar una serie de consecuencias graves.
En primer lugar, el malware de puerta trasera permite a los atacantes recopilar información confidencial, incluidos datos personales, registros financieros y propiedad intelectual. Estos datos recopilados se pueden utilizar para el robo de identidad, el fraude financiero o el espionaje corporativo. Además, el malware puede facilitar otros ataques al permitir la instalación de software malicioso adicional, incluido el ransomware, que puede cifrar archivos críticos y exigir un rescate por su liberación.
En segundo lugar, el malware de puerta trasera puede comprometer la integridad del sistema e interrumpir las operaciones. Los atacantes pueden manipular o eliminar archivos importantes, alterar las configuraciones del sistema y deshabilitar las herramientas de seguridad, lo que provoca tiempos de inactividad operativa y pérdidas financieras significativas. Esta interrupción puede ser especialmente perjudicial para sectores de infraestructura crítica, como la atención médica, las finanzas y la energía, donde las interrupciones del sistema pueden afectar la seguridad y los servicios públicos.
Además, el malware de puerta trasera a menudo facilita la vigilancia y el espionaje encubiertos. Los atacantes pueden monitorear las actividades del usuario, capturar las pulsaciones de teclas y acceder a las transmisiones de cámaras web sin el conocimiento de la víctima, lo que da lugar a violaciones de la privacidad y la información confidencial.
En resumen, un malware de puerta trasera presenta graves riesgos al socavar la seguridad de los datos, la integridad operativa y la privacidad. Su capacidad para proporcionar acceso persistente y no autorizado lo convierte en una amenaza potente que requiere medidas de seguridad sólidas y una supervisión atenta para mitigar su impacto.