新型定制恶意软件Tickler攻击卫星设备

微软发现了一种新的定制多阶段后门“Tickler”，由伊朗国家支持的威胁行为者 Peach Sandstorm 在 2024 年 4 月至 7 月期间部署。 

Tickler 的主要目标是卫星、通信设备、石油和天然气以及政府等领域，它被用来收集情报。

Peach Sandstorm 还对教育和政府部门进行了密码喷洒攻击。 

该组织在LinkedIn上使用社会工程技术，针对高等教育、卫星和国防组织，而微软评估 Peach Sandstorm 的行动符合伊朗伊斯兰革命卫队的利益，旨在促进情报收集。

Peach Sandstorm 是一个以密码喷洒攻击和基于 LinkedIn 的情报收集而闻名的网络威胁行为者，它已经改进了其策略；最近，它部署了一个名为 Tickler 的新自定义后门，并使用欺诈性的 Azure 订阅进行命令和控制。 

它凸显了该组织的适应性，并强调了持续监控和威胁检测对减轻不断演变的网络威胁的重要性，同时已采取主动措施破坏该组织的基础设施并通知受影响的组织。

一个威胁行为者团体，于 2021 年 11 月至 2024 年中期在 LinkedIn 上利用虚假的 LinkedIn 个人资料开展情报收集和社会工程活动，针对高等教育、卫星和相关行业。 

他们对各种组织发起密码喷洒攻击，入侵账户并利用它们访问Azure基础设施以进行进一步的操作，目标是美国和澳大利亚的国防、航天、教育和政府等领域。

APT 组织 Peach Sandstorm 使用名为 Tickler 的自定义多阶段后门来入侵目标网络，该后门伪装成安全指南并收集网络信息，然后加载合法的 PDF 作为诱饵。 

改进版本 sold.dll 下载了额外的有效负载，包括后门、持久性脚本和可能用于侧加载的合法 DLL。

然后，它添加了一个注册表项以确保其持久性，并提供系统信息收集、目录列表、命令执行、文件删除和与 C2 服务器传输文件等功能。 

恶意组织 Peach Sandstorm 通过使用被盗用的用户账户创建多个租户和订阅来滥用 Azure 资源，然后在这些 Azure 资源上部署了名为 Tickler 的 C2 节点，用于控制后门，可能用于恶意活动。 

该组织的策略与 Smoke Sandstorm 等其他伊朗组织使用的策略一致，近几个月来，他们也被发现使用了类似的技术。

它通过使用 SMB 在系统之间跳转并下载和安装远程监控和管理工具（如 AnyDesk）来实现持久性和控制，从而危害组织并在其网络内横向移动。 

据微软称，他们曾拍摄 Active Directory 数据库的快照，可能利用它们进行侦察或进一步的攻击。

为了减轻 Peach Sandstorm 攻击，请实施强大的身份保护措施，包括 MFA、条件访问和密码保护。

利用云提供的保护、实时保护和 EDR 增强端点安全性。利用异常检测、Web 保护和篡改保护保护网络。