Los investigadores de amenazas de Microsoft han emitido una nueva advertencia después de rastrear la aparición de un nuevo malware de puerta trasera personalizado y de múltiples etapas llamado Tickler, que se está utilizando contra objetivos en los sectores de satélites, comunicaciones, petróleo y gas y gobierno en los Estados Unidos y los Emiratos Árabes Unidos. Tickler parece estar siendo utilizado por un actor de amenaza persistente avanzada (APT) respaldado por Irán, que Microsoft Threat Intelligence ha denominado Peach Sandstorm (también conocido como APT33), probablemente una unidad cibernética que opera en nombre del Cuerpo de la Guardia Revolucionaria Iraní (IGRC). Mint Sandstorm (también conocido como Charming Kitten), otro grupo vinculado al IGRC, es sospechoso de estar detrás del reciente hackeo de la campaña electoral de Donald Trump. El malware se implementó a principios de este año y su uso representa una diversificación de la metodología de ataque de Peach Sandstorm. «Microsoft observó nuevas tácticas, técnicas y procedimientos (TTP) después del acceso inicial a través de ataques de rociado de contraseñas o ingeniería social», escribió el equipo de investigación de Microsoft. “Entre abril y julio de 2024, Peach Sandstorm implementó una nueva puerta trasera personalizada de varias etapas, Tickler, y aprovechó la infraestructura de Azure alojada en suscripciones de Azure fraudulentas controladas por atacantes para el comando y control (C2). “Microsoft monitorea continuamente Azure, junto con todos los productos y servicios de Microsoft, para garantizar el cumplimiento de nuestros términos de servicio. Microsoft ha notificado a las organizaciones afectadas e interrumpió la infraestructura fraudulenta de Azure y las cuentas asociadas con esta actividad”, dijeron. Peach Sandstorm ya era conocido por implementar ataques exitosos de rociado de contraseñas contra sus objetivos, habiendo investigado generalmente a personas de interés a través de LinkedIn. Su cadena de ataque evolucionada todavía hace uso de la técnica de rociado de contraseñas, pero en la campaña Tickler, esto se utilizó para acceder a organizaciones del sector educativo y secuestrar cuentas clave. Luego, Peach Sandstorm usó las cuentas que había tomado para acceder a suscripciones de Azure existentes o crearlas. Luego, utilizó la infraestructura de Azure obtenida ilícitamente como C2 o para saltar a otros objetivos, principalmente en los sectores de defensa, gobierno y espacio. Microsoft dijo que las recientes actualizaciones de seguridad de Azure deberían haber hecho que dichas cuentas fueran más resistentes a estas tácticas, aunque evidentemente no lo suficientemente pronto como para evitar esta campaña. ¿Qué hace Tickler? Tickler fue diseñado para desempeñar un papel clave en este proceso de adquisición al permitir que Peach Sandstorm gane un punto de apoyo en sus redes objetivo. Hasta ahora, Microsoft ha identificado dos muestras distintas de Tickler. La primera de ellas se utiliza para recopilar información de red del sistema host y enviarla al Identificador uniforme de recursos (URI) de C2 a través de una solicitud HTTP POST. Esto probablemente sirve para ayudar a Peach Sandstorm a orientarse en la red comprometida. La segunda iteración mejora la primera, agregando la funcionalidad de dropper troyano para descargar cargas útiles del servidor C2, incluida una puerta trasera, un script por lotes para habilitar la persistencia de la puerta trasera y algunos archivos legítimos utilizados para la carga lateral de la biblioteca de vínculos dinámicos (DLL). Microsoft dijo que Peach Sandstorm había comprometido a varias organizaciones de esta manera con varios objetivos finales, incluido el uso de Server Message Block (SMB) para moverse lateralmente y aumentar su control, la descarga e instalación de herramientas de monitoreo y administración remotas (RMM) para espiar a sus objetivos y tomar instantáneas de Active Directory (AD) para explotar en futuros ataques. Beat the Peach El artículo de Microsoft estableció varios pasos que los defensores de las organizaciones en riesgo deberían tomar ahora. Estos incluyen: restablecer las credenciales en cualquier cuenta que sea el objetivo de un ataque de rociado de contraseñas y revocar sus cookies de sesión y cualquier cambio que se haya realizado en las cuentas, como en la configuración de MFA; habilitar desafíos de MFA para cambios de configuración de MFA y mejorar la higiene de las credenciales en general, como mediante la implementación de protocolos de privilegios mínimos y la activación de protecciones mejoradas disponibles en Microsoft Entra; implementar Azure Security Benchmark y otras prácticas recomendadas, que se establecen aquí. Microsoft ofrece más orientación.