أصدر باحثو التهديدات في شركة مايكروسوفت تحذيرًا جديدًا بعد تتبع ظهور باب خلفي جديد ومخصص ومتعدد المراحل البرمجيات الخبيثة يُطلق على النظام اسم “تيكلر”، ويُستخدم ضد أهداف في قطاعات الأقمار الصناعية والاتصالات والنفط والغاز والحكومة في الولايات المتحدة والإمارات العربية المتحدة.
يبدو أن Tickler يتم استخدامه من قبل جهة فاعلة للتهديدات المستمرة المتقدمة (APT) مدعومة من إيران، والتي أطلق عليها قسم الاستخبارات التهديدية في Microsoft اسم Peach Sandstorm (المعروف أيضًا باسم APT33)، من المحتمل أن تكون وحدة إلكترونية تعمل لصالح الحرس الثوري الإيراني (IGRC) – Mint Sandstorm (المعروف أيضًا باسم القطة الساحرة)، وهي مجموعة أخرى مرتبطة بـ IGRC، يشتبه في أنها وراء عملية الاختراق الأخيرة الحملة الانتخابية لدونالد ترامب.
تم نشر البرمجيات الخبيثة في وقت سابق من هذا العام، واستخدامها يمثل تنويعًا في منهجية هجوم Peach Sandstorm.
“لاحظت مايكروسوفت تكتيكات وتقنيات وإجراءات جديدة (TTPs) بعد الوصول الأولي عبر هجمات رش كلمة المرور أو الهندسة الاجتماعية،” كتب فريق البحث في مايكروسوفت.
“بين أبريل ويوليو 2024، قامت Peach Sandstorm بنشر باب خلفي جديد متعدد المراحل مخصص، Tickler، واستفادت من البنية الأساسية لـ Azure المستضافة في اشتراكات Azure الاحتيالية التي يسيطر عليها المهاجمون من أجل القيادة والتحكم (C2).
“تراقب مايكروسوفت Azure باستمرار، إلى جانب جميع منتجات وخدمات Microsoft، لضمان الامتثال لشروط الخدمة الخاصة بنا. وقد أخطرت مايكروسوفت المؤسسات المتضررة وعطلت البنية الأساسية والحسابات الاحتيالية في Azure المرتبطة بهذا النشاط”، كما قالت.
كانت شركة Peach Sandstorm معروفة بالفعل بنشر هجمات رش كلمات المرور الناجحة ضد أهدافها، حيث كانت تبحث بشكل عام عن الأشخاص المعنيين عبر LinkedIn.
لا تزال سلسلة الهجمات المتطورة التي طورتها الشركة تستخدم تقنية رش كلمات المرور، ولكن في حملة Tickler، تم استخدام هذه التقنية للوصول إلى المنظمات في قطاع التعليم واختطاف الحسابات الرئيسية. ثم استخدمت Peach Sandstorm الحسابات التي استولت عليها للوصول إلى اشتراكات Azure الحالية أو إنشائها. ثم استخدمت البنية الأساسية التي تم شراؤها بشكل غير قانوني في Azure كـ C2 أو للانتقال إلى أهداف أخرى، وخاصة في قطاعات الدفاع والحكومة والفضاء.
وقالت مايكروسوفت تحديثات الأمان الأخيرة لـ Azure كان ينبغي أن يجعل هذا النوع من الحسابات أكثر مقاومة لهذه التكتيكات، على الرغم من أنه من الواضح أن ذلك لم يتم في وقت قريب بما يكفي لمنع هذه الحملة.
ماذا يفعل تيكلر؟
تم تصميم Tickler ليلعب دورًا رئيسيًا في عملية الشراء هذه من خلال تمكين Peach Sandstorm من الحصول على موطئ قدم في شبكاتها المستهدفة.
حتى الآن، تمكنت شركة Microsoft من تحديد نوعين مختلفين من Tickler. الأول يستخدم لجمع معلومات الشبكة من نظام المضيف وإرسالها إلى C2 Uniform Resource Identifier (URI) عبر طلب HTTP POST. ومن المحتمل أن يساعد هذا في توجيه Peach Sandstorm نحو الشبكة المخترقة.
يعمل الإصدار الثاني على تحسين الإصدار الأول، من خلال إضافة وظيفة Trojan Dropper لتنزيل الحمولات من خادم C2، بما في ذلك الباب الخلفي، ونص برمجي دفعي لتمكين الثبات للباب الخلفي، وبعض الملفات المشروعة المستخدمة للتحميل الجانبي لمكتبة الارتباط الديناميكي (DLL).
وقالت مايكروسوفت إن Peach Sandstorm قد اخترقت العديد من المنظمات بهذه الطريقة لتحقيق أهداف مختلفة في النهاية – بما في ذلك استخدام Server Message Block (SMB) للتحرك أفقياً ورفع مستوى سيطرتهم، وتنزيل وتثبيت أدوات المراقبة والإدارة عن بعد (RMM) للتجسس على أهدافهم، وأخذ لقطات من Active Directory (AD) لاستغلالها في هجمات أخرى.
تغلب على الخوخ
حددت شركة مايكروسوفت في تقريرها عدة خطوات ينبغي للمدافعين في المؤسسات المعرضة للخطر اتخاذها الآن. وتشمل هذه الخطوات:
- لإعادة تعيين بيانات الاعتماد على أي حسابات مستهدفة بهجمات رش كلمة المرور، وإلغاء ملفات تعريف الارتباط الخاصة بالجلسة وأي تغييرات ربما تم إجراؤها على الحسابات، مثل إعدادات المصادقة الثنائية (MFA)؛
- لتمكين تحديات المصادقة الثنائية (MFA) لتغييرات إعدادات المصادقة الثنائية (MFA)، وتحسين نظافة بيانات الاعتماد بشكل عام، مثل تنفيذ بروتوكولات الحد الأدنى من الامتيازات والاستفادة من الحماية المعززة المتاحة في Microsoft Entra؛
- لتنفيذ معيار أمان Azure وغيرها من أفضل الممارسات، وضعت هنا.
