Đội ngũ Tình báo Mối đe dọa của Microsoft đã tiết lộ một diễn biến đáng lo ngại trong lĩnh vực an ninh mạng. Nhóm hacker do nhà nước Iran tài trợ, được biết đến với tên gọi Peach Sandstorm (còn gọi là APT 33), đã được phát hiện triển khai một phần mềm độc hại tinh vi mới có tên Tickler nhằm xâm nhập các tổ chức trong lĩnh vực không gian và truyền thông vệ tinh.
Lá cờ Iran được tái hiện qua lăng kính kỹ thuật số, tượng trưng cho các hoạt động mạng của quốc gia này và ảnh hưởng của chúng đối với an ninh trong lĩnh vực không gian |
Một Mối Đe Dọa Mới Xuất Hiện
Tickler đại diện cho một bước tiến đáng kể trong kho vũ khí của Peach Sandstorm. Phần mềm backdoor đa giai đoạn được tùy chỉnh này cho phép các hacker thiết lập quyền truy cập từ xa vào mạng của nạn nhân, có khả năng xâm phạm thông tin và cơ sở hạ tầng nhạy cảm. Các nhà nghiên cứu của Microsoft đã phát hiện Tickler được sử dụng để tấn công các mục tiêu trong ngành vệ tinh, thiết bị truyền thông, dầu khí, cũng như các cơ quan chính phủ tại Hoa Kỳ và Các Tiểu vương quốc Ả Rập Thống nhất.
Chiến Thuật Cũ và Mới
Mặc dù Tickler thể hiện khả năng kỹ thuật ngày càng phát triển của Peach Sandstorm, nhóm này vẫn tiếp tục dựa vào các phương pháp đã được kiểm chứng:
- Tấn công Mật khẩu Hàng loạt: Các hacker cố gắng xâm nhập nhiều tài khoản bằng cách sử dụng các mật khẩu phổ biến hoặc bị rò rỉ.
- Kỹ thuật Xã hội: Các hồ sơ LinkedIn giả mạo được sử dụng để thu thập thông tin tình báo và có khả năng thao túng mục tiêu.
- Lạm dụng Cơ sở Hạ tầng Đám mây: Các tài khoản giáo dục bị xâm phạm được tận dụng để thiết lập cơ sở hạ tầng điều khiển và kiểm soát (C2) trên Azure.
Ảnh Hưởng đến An Ninh Toàn Cầu
Việc tập trung vào truyền thông vệ tinh và các mục tiêu liên quan đến không gian đặc biệt đáng lo ngại. Sherrod DeGrippo, giám đốc tình báo mối đe dọa của Microsoft, lưu ý rằng đây không phải là lần đầu tiên Peach Sandstorm nhắm mục tiêu vào lĩnh vực không gian, cho thấy sự quan tâm lâu dài đối với lĩnh vực quan trọng này.
Phòng Thủ Chống Lại Mối Đe Dọa
Microsoft đã thực hiện các bước để giảm thiểu rủi ro do Tickler và các hoạt động khác của Peach Sandstorm gây ra:
- Thông báo cho khách hàng bị ảnh hưởng
- Gỡ bỏ các hồ sơ LinkedIn độc hại
- Thực thi xác thực đa yếu tố (MFA) cho các quản trị viên Azure (kể từ tháng 7 năm 2024)
- Triển khai MFA cho tất cả tài khoản Azure (dự kiến vào tháng 10 năm 2024)
Khi các hoạt động mạng do nhà nước Iran tài trợ tiếp tục phát triển, việc cảnh giác và áp dụng các biện pháp an ninh mạng mạnh mẽ vẫn rất quan trọng đối với các tổ chức trong các lĩnh vực bị nhắm mục tiêu. Việc phát hiện ra Tickler là một lời nhắc nhở rõ ràng về bản chất dai dẳng và thích ứng của các mối đe dọa mạng hiện nay.