Peach Sandstorm, un grupo de piratas informáticos supuestamente patrocinado por Irán, ha desarrollado una nueva puerta trasera personalizada de varias etapas para infiltrarse en sus objetivos en operaciones de ciberespionaje. Microsoft Threat Intelligence, que detectó el nuevo malware, lo llamó Tickler. Tickler se ha utilizado en ataques contra objetivos en los sectores de satélites, equipos de comunicaciones, petróleo y gas, así como gobiernos federales y estatales en los EE. UU. y los Emiratos Árabes Unidos. Descubriendo la cadena de infección de Tickler Microsoft Threat Intelligence ha identificado dos muestras del malware Tickler que Peach Sandstorm implementó en entornos comprometidos entre abril y julio de 2024. La primera muestra estaba contenida en un archivo llamado Network Security.zip junto con archivos PDF legítimos utilizados como documentos señuelo. La segunda muestra de Tickler, sold.dll, es un troyano dropper funcionalmente idéntico a la muestra identificada anteriormente. Una vez ejecutadas, ambas muestras recopilan información de red de la máquina infectada y la envían a un servidor de comando y control (C2), lo que potencialmente ayuda a los atacantes a comprender el diseño de la red comprometida. Microsoft observó que Peach Sandstorm creaba inquilinos de Azure utilizando cuentas de correo electrónico de Microsoft Outlook y creaba suscripciones de Azure for Students en estos inquilinos. Además, el grupo aprovechó las cuentas de usuario comprometidas en los inquilinos de Azure de organizaciones del sector educativo para hacer lo mismo. Dentro de estas suscripciones, Peach Sandstorm creó posteriormente recursos de Azure para usarlos como C2 para la puerta trasera. Una táctica similar fue utilizada en el pasado por otros grupos de amenazas iraníes, incluido Smoke Sandstorm. Técnicas, tácticas y procedimientos de Peach Sandstorm Perach Sandstorm es un grupo de ciberespionaje que ha estado activo desde al menos 2013. Microsoft cree que opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (RGC). En campañas anteriores, Peach Sandstorm ha utilizado varias técnicas, incluida la recopilación de inteligencia a través de LinkedIn y ataques de pulverización de contraseñas para obtener acceso a objetivos de interés. Una vez que Peach Sandstorm obtiene acceso a una organización, se sabe que el actor de amenazas realiza movimientos laterales y acciones sobre los objetivos utilizando las siguientes técnicas: Moverse lateralmente a través del Bloque de mensajes del servidor (SMB) Descargar e instalar una herramienta de administración y monitoreo remoto (RMM) Tomar una instantánea de Microsoft Active Directory (AD) Según Microsoft, el uso de una puerta trasera personalizada es consistente con los objetivos persistentes de recopilación de inteligencia del actor de amenazas y representa la última evolución de sus operaciones cibernéticas de larga data. Recomendaciones de mitigación de Microsoft En su análisis Tickler, Microsoft Threat Intelligence proporcionó una lista de recomendaciones para mitigar los ataques utilizando las técnicas, tácticas y procedimientos de Peach Sandstorm. Estos incluyen: Restablecer las contraseñas de las cuentas para cualquier cuenta que sea el objetivo durante un ataque de rociado de contraseñas Revocar las cookies de sesión además de restablecer las contraseñas Revocar cualquier cambio de configuración de autenticación multifactor (MFA) realizado por el atacante en las cuentas de cualquier usuario comprometido Requerir que se vuelva a desafiar la MFA para las actualizaciones de MFA como predeterminada Implementar Azure Security Benchmark y las mejores prácticas generales para proteger la infraestructura de identidad Proteger las cuentas con higiene de credenciales (por ejemplo, el principio del mínimo privilegio) Implementar Microsoft Entra Connect Health para los Servicios de federación de Active Directory (AD FS) Activar la protección de identidad en Microsoft Entra para monitorear los riesgos basados ​​en la identidad y crear políticas para inicios de sesión riesgosos Proteger los puntos finales del Protocolo de escritorio remoto (RDP) o Windows Virtual Desktop con MFA para fortalecerse contra el rociado de contraseñas o los ataques de fuerza bruta Leer más: Irán está detrás del hackeo de la campaña de Trump, confirma el gobierno de EE. UU.