Microsoft hat zwischen April und Juli 2024 beobachtet, dass die vom Iran unterstützte Hackergruppe „Peach Sandstorm“ bei ihren Angriffen eine neue individuelle, mehrstufige Backdoor eingesetzt hat, die wir „Tickler“ nennen. Tickler wurde genutzt, um Ziele in der Satelliten- und Kommunikationsinfrastruktur, der Öl- und Gasinfrastruktur sowie in Bundes- und Landesregierungen, insbesondere in den USA und den Vereinigten Arabischen Emiraten, anzugreifen. Diese Aktivität steht im Einklang mit den anhaltenden Zielen der Angreifer, Informationen zu sammeln, und stellt die aktuelle Entwicklung ihrer langjährigen Cyber-Operationen dar.
Peach Sandstorm hat außerdem Passwort-Spray-Angriffe gestartet, die sowohl auf den Bildungssektor als auch auf den Satelliten-, Regierungs- und Verteidigungssektor abzielten. Darüber hinaus hat Microsoft beobachtet, dass Peach Sandstorm über das Karrierenetzwerk LinkedIn Informationen über Organisationen im Hochschul-, Satelliten- und Verteidigungssektor sammelt und möglicherweise Social Engineering betreibt.
Microsoft geht davon aus, dass Peach Sandstorm im Auftrag des Korps der Islamischen Revolutionsgarden (IRGC) operiert, basierend auf der Opferwahl und dem operativen Schwerpunkt der Gruppe. Microsoft glaubt, dass Peach Sandstorm Informationen sammelt, die den Interessen des iranischen Staates nutzen.
Microsoft beobachtet Peach-Sandstorm-Kampagnen, benachrichtigt direkt betroffene Kunden und stellt ihnen die erforderlichen Informationen zur Verfügung, um ihre Umgebung zu schützen. Im Rahmen unserer kontinuierlichen Überwachung und Analyse der Bedrohungslandschaft geben wir unsere Erkenntnisse über die Verwendung von Tickler durch Peach Sandstorm weiter, um das Bewusstsein für die sich ändernde Vorgehensweise der Hackergruppe zu schärfen und unsere Kunden darüber zu informieren, wie sie ihre Angriffsflächen gegen solche Aktivitäten verringern können. So hat Microsoft beispielsweise im jüngsten Bericht des Microsoft Threat Analysis Center (MTAC) Erkenntnisse über eine mögliche Beeinflussung der US-Wahlen durch den Iran veröffentlicht.
Entwicklung der Peach-Sandstorm-Taktik
Bei früheren Angriffen hat Peach Sandstorm erfolgreich Passwort-Spray-Angriffe eingesetzt, um sich Zugang zu relevanten Accounts zu verschaffen. Die Hacker sammelten zusätzlich Informationen über LinkedIn und suchten nach Organisationen und Einzelpersonen, die in den Bereichen Hochschulbildung, Satelliten und Verteidigung tätig sind.
Bei den jüngsten Operationen der Gruppe beobachtete Microsoft neue Taktiken, Techniken und Verfahren (tactics, techniques and procedures; TTPs) nach dem ersten Zugriff durch Passwort-Spray-Angriffe oder Social Engineering. Zwischen April und Juli 2024 setzte Peach Sandstorm eine neue, individuelle, mehrstufige Backdoor namens „Tickler“ ein und nutzte die Azure-Infrastruktur, die in betrügerischen, von den Angreifern kontrollierten Azure-Abonnements gehostet wurde, als Kommando- und Kontrollzentrale (command and control; C2). Microsoft überwacht Azure sowie alle Microsoft-Produkte und -Dienste kontinuierlich, um die Einhaltung der Nutzungsbedingungen sicherzustellen. Microsoft hat die betroffenen Organisationen benachrichtigt und die betrügerische Azure-Infrastruktur sowie die mit dieser Aktivität verbundenen Konten deaktiviert.
Abbildung 1. Angriffskette von Peach Sandstorm
Informationsbeschaffung über LinkedIn
Microsoft hat zwischen November 2021 bis Mitte 2024 beobachtet, dass Peach Sandstorm mehrere LinkedIn-Profile verwendet hat, die sich als Studierende, Entwickler*innen und Headhunter*innen mit Sitz in den USA oder Westeuropa ausgeben. Peach Sandstorm nutzt sie hauptsächlich, um Informationen zu sammeln und möglicherweise Social Engineering gegen die Sektoren Hochschulbildung, Satelliten und verwandte Branchen zu betreiben. Die identifizierten LinkedIn-Konten wurden inzwischen gelöscht. Informationen zu den Richtlinien von LinkedIn und Maßnahmen gegen „unauthentisches Verhalten“ auf der Plattform gibt es hier.
Passwort-Spray-Angriffe als gängige Angriffsmethode
Spätestens seit Februar 2023 beobachtet Microsoft, dass Peach Sandstorm Passwort-Spray-Aktivitäten gegen Tausende von Organisationen durchführt. Bei Passwort-Spray-Angriffen versuchen Hacker, sich mit einem einzigen Passwort oder einer Liste häufig verwendeter Passwörter bei vielen verschiedenen Konten zu authentifizieren. Im Gegensatz zu Brute-Force-Angriffen, die mit vielen Passwörtern auf ein einzelnes Konto abzielen, helfen Passwort-Spray-Angriffe den Hackern, ihre Erfolgschancen zu maximieren und die Wahrscheinlichkeit automatischer Kontosperrungen zu minimieren.
Microsoft hat beobachtet, dass, nachdem Peach Sandstorm die Anmeldedaten eines Zielkontos mit der Passwort-Spray-Technik verifiziert hat, sich der Angreifer anschließend über eine kommerzielle VPN-Infrastruktur in die gehackten Konten einloggen konnte.
Im April und Mai 2024 hat Microsoft außerdem erkannt, dass Peach Sandstorm Passwort-Spray-Angriffe gegen Verteidigungs-, Raumfahrt-, Bildungs- und Regierungsorganisationen in den Vereinigten Staaten und Australien durchführte. Insbesondere verwendete Peach Sandstorm den Client „go-http-client“, der häufig in Passwort-Spray-Kampagnen eingesetzt wird. Während die Passwort-Spray-Aktivität in allen Sektoren gleichmäßig verteilt zu sein schien, stellte Microsoft fest, dass Peach Sandstorm ausschließlich gehackte Benutzerkonten im Bildungssektor verwendete, um eine operative Infrastruktur aufzubauen. In diesen Fällen griffen die Angreifer auf bestehende Azure-Abonnements zu oder erstellten Abonnements mit einem gehackten Konto um ihre eigene Infrastruktur zu hosten. Die von den Hackern kontrollierte Azure-Infrastruktur diente dann als Kommando- und Kontrollzentrale (C2) oder Plattform für die Operationen von Peach Sandstorm, die auf den Regierungs-, Verteidigungs- und Raumfahrtsektor abzielten. Jüngste Aktualisierungen der Azure-Sicherheitsstandards wie die mehrstufige Authentifizierung tragen dazu bei, dass Azure-Konten widerstandsfähiger gegen Hackerangriffe sind wie sie von Peach Sandstorm durchgeführt wurden.
Microsoft Threat Intelligence hat zwei Muster der Tickler-Malware identifiziert. Das erste Muster war in einer Archivdatei namens Network Security.zip enthalten, zusammen mit harmlosen PDF-Dateien, die als Köderdokumente dienten. Weitere Informationen zu den genutzten Archivdateien finden sich im englischen Blogpost.
Weitere Informationen
Die neuesten Forschungsergebnisse der Microsoft Threat Intelligence Community stehen im Microsoft Threat Intelligence Blog. Um über neue Veröffentlichungen informiert zu werden und an Diskussionen in den sozialen Medien teilzunehmen, folgen Sie uns auf LinkedIn und auf X (ehemals Twitter). Um Geschichten und Einblicke aus der Microsoft Threat Intelligence-Community und die sich ständig verändernde Bedrohungslandschaft zu erhalten, können Sie sich auch den Microsoft Threat Intelligence-Podcast anhören.
Foto Credit: Microsoft