Tickler-Malware in Geheimdienstoperationen

Microsoft zufolge wurde Tickler genutzt, um Ziele in der Satelliten- und Kommunikationsinfrastruktur, der Öl- und Gasinfrastruktur sowie in Bundes- und Landesregierungen, insbesondere in den USA und den Vereinigten Arabischen Emiraten, anzugreifen. Diese Aktivität steht im Einklang mit den anhaltenden Zielen der Angreifer, Informationen zu sammeln, und stellt die aktuelle Entwicklung ihrer langjährigen Cyber-Operationen dar.

Peach Sandstorm habe außerdem Passwort-Spray-Angriffe gestartet, die sowohl auf den Bildungssektor als auch auf den Satelliten-, Regierungs- und Verteidigungssektor abzielten, so Microsoft weiter. Darüber hinaus hat das Unternehmen beobachtet, dass Peach Sandstorm über das Karrierenetzwerk LinkedIn Informationen über Organisationen im Hochschul-, Satelliten- und Verteidigungssektor sammelt und möglicherweise Social Engineering betreibt.

Microsoft geht davon aus, dass Peach Sandstorm im Auftrag des Korps der Islamischen Revolutionsgarden (IRGC) operiert, basierend auf der Opferwahl und dem operativen Schwerpunkt der Gruppe. Microsoft glaubt, dass Peach Sandstorm Informationen sammelt, die den Interessen des iranischen Staates nutzen.

Microsoft beobachtet Peach-Sandstorm-Kampagnen, benachrichtigt direkt betroffene Kunden und stellt ihnen die erforderlichen Informationen zur Verfügung, um ihre Umgebung zu schützen. So hat Microsoft beispielsweise im jüngsten Bericht des Microsoft Threat Analysis Center (MTAC) Erkenntnisse über eine mögliche Beeinflussung der US-Wahlen durch den Iran veröffentlicht.

Ausspähen via LinkedIn

Bei früheren Angriffen habe Peach Sandstorm erfolgreich Passwort-Spray-Angriffe eingesetzt, um sich Zugang zu relevanten Accounts zu verschaffen, so Microsoft weiter. Die Hacker hätten zusätzlich Informationen über LinkedIn gesammelt und dort nach Organisationen und Einzelpersonen gesucht, die in den Bereichen Hochschulbildung, Satelliten und Verteidigung tätig sind.

Bei den jüngsten Operationen der Gruppe beobachtete Microsoft neue Taktiken, Techniken und Verfahren nach dem ersten Zugriff durch Passwort-Spray-Angriffe oder Social Engineering. Zwischen April und Juli 2024 setzte Peach Sandstorm demnach eine neue, individuelle, mehrstufige Backdoor namens „Tickler“ ein und nutzte die Azure-Infrastruktur, die in betrügerischen, von den Angreifern kontrollierten Azure-Abonnements gehostet wurde, als Kommando- und Kontrollzentrale.

Microsoft weist darauf hin, Azure wie auch alle seine übrigen Produkte und -Dienste kontinuierlich zu überwachen, um die Einhaltung der Nutzungsbedingungen sicherzustellen. Das Unternehmen habe die betroffenen Organisationen benachrichtigt und die betrügerische Azure-Infrastruktur sowie die mit dieser Aktivität verbundenen Konten deaktiviert.

Bisher hat Microsoft zwei Muster der Tickler-Malware identifiziert. Das erste Muster war in einer Archivdatei namens Network Security.zip enthalten, zusammen mit harmlosen PDF-Dateien, die als Köderdokumente dienten. Weitere Informationen zu den genutzten Archivdateien finden sich in diesem englischen Blogpost.