Los investigadores de amenazas de Microsoft han emitido una nueva advertencia después de rastrear la aparición de un novedoso malware de puerta trasera personalizado de varias etapas denominado Tickler, que se está utilizando contra objetivos en los sectores de satélites, comunicaciones, petróleo y gas y gobierno en los Estados Unidos y Emiratos Árabes Unidos.
Tickler parece estar siendo utilizado por un actor de amenaza persistente avanzada (APT) respaldado por Irán, que Microsoft Threat Intelligence ha denominado Peach Sandstorm (también conocido como APT33), probablemente una unidad cibernética que opera en nombre del Cuerpo de la Guardia Revolucionaria Iraní (IGRC) – Mint Se sospecha que Sandstorm (también conocido como Charming Kitten), otro grupo vinculado al IGRC, está detrás del reciente pirateo de la campaña electoral de Donald Trump.
El malware se implementó a principios de este año y su uso representa una diversificación de la metodología de ataque de Peach Sandstorm.
“Microsoft observó nuevas tácticas, técnicas y procedimientos (TTP) después del acceso inicial mediante ataques de pulverización de contraseñas o ingeniería social”, escribió el equipo de investigación de Microsoft.
“Entre abril y julio de 2024, Peach Sandstorm implementó una nueva puerta trasera personalizada de varias etapas, Tickler, y aprovechó la infraestructura de Azure alojada en suscripciones de Azure fraudulentas y controladas por atacantes para comando y control (C2).
“Microsoft monitorea continuamente Azure, junto con todos los productos y servicios de Microsoft, para garantizar el cumplimiento de nuestros términos de servicio. Microsoft notificó a las organizaciones afectadas e interrumpió la infraestructura fraudulenta de Azure y las cuentas asociadas con esta actividad”, dijeron.
Peach Sandstorm ya era conocido por implementar exitosos ataques de rociado de contraseñas contra sus objetivos, habiendo investigado generalmente a personas de interés a través de LinkedIn.
Su cadena de ataque evolucionada todavía utiliza la técnica de pulverización de contraseñas, pero en la campaña Tickler, se utilizó para acceder a organizaciones del sector educativo y secuestrar cuentas clave. Luego, Peach Sandstorm utilizó las cuentas que había asumido para acceder a las suscripciones de Azure existentes o crearlas. Luego utilizó la infraestructura de Azure adquirida ilícitamente como C2 o para saltar a otros objetivos, principalmente en los sectores de defensa, gobierno y espacio.
Microsoft dijo que las recientes actualizaciones de seguridad de Azure deberían haber hecho que dichas cuentas sean más resistentes a estas tácticas, aunque evidentemente no lo suficientemente pronto como para evitar esta campaña.
¿Qué hace Tickler?
Tickler fue diseñado para desempeñar un papel clave en este proceso de adquisición al permitir que Peach Sandstorm se afianzara en sus redes objetivo.
Hasta ahora, Microsoft ha identificado dos muestras distintas de Tickler. El primero de ellos se utiliza para recopilar información de red del sistema host y enviarla al Identificador uniforme de recursos (URI) C2 a través de una solicitud HTTP POST. Esto probablemente sirva para ayudar a Peach Sandstorm a orientarse en la red comprometida.
La segunda iteración mejora la primera, agregando la funcionalidad de cuentagotas troyano para descargar cargas útiles desde el servidor C2, incluida una puerta trasera, un script por lotes para permitir la persistencia de la puerta trasera y algunos archivos legítimos utilizados para la descarga de la biblioteca de vínculos dinámicos (DLL).
Microsoft dijo que Peach Sandstorm había comprometido a varias organizaciones de esta manera con varios objetivos finales, incluido el uso de Server Message Block (SMB) para moverse lateralmente y elevar su control, la descarga e instalación de herramientas de administración y monitoreo remoto (RMM) para espiar. sus objetivos y tomar instantáneas de Active Directory (AD) para explotarlas en futuros ataques.
Batir el melocotón
El artículo de Microsoft establece varios pasos que los defensores de las organizaciones en riesgo deberían seguir ahora. Estos incluyen:
- Para restablecer las credenciales de cualquier cuenta objetivo de ataques de pulverización de contraseñas y revocar sus cookies de sesión y cualquier cambio que se haya realizado en las cuentas, como la configuración de MFA;
- Para habilitar los desafíos de MFA para los cambios de configuración de MFA y mejorar la higiene de las credenciales en general, por ejemplo, mediante la implementación de protocolos de privilegios mínimos y la participación de protecciones mejoradas disponibles en Microsoft Entra;
- Para implementar Azure Security Benchmark y otras prácticas recomendadas, se describen aquí.
Hay más orientación disponible de Microsoft.