Peach Sandstorm setzt neue Tickler-Malware in Geheimdienstoperationen ein

Microsoft hat zwischen April und Juli 2024 beobachtet, dass die vom Iran unterstützte Hackergruppe „Peach Sandstorm“ bei ihren Angriffen eine neue individuelle, mehrstufige Backdoor eingesetzt hat, die wir „Tickler“ nennen. Tickler wurde genutzt, um Ziele in der Satelliten- und Kommunikationsinfrastruktur, der Öl- und Gasinfrastruktur sowie in Bundes- und Landesregierungen, insbesondere in den USA und den Vereinigten Arabischen Emiraten, anzugreifen. Diese Aktivität steht im Einklang mit den anhaltenden Zielen der Angreifer, Informationen zu sammeln, und stellt die aktuelle Entwicklung ihrer langjährigen Cyber-Operationen dar.

Peach Sandstorm hat außerdem Passwort-Spray-Angriffe gestartet, die sowohl auf den Bildungssektor als auch auf den Satelliten-, Regierungs- und Verteidigungssektor abzielten. Darüber hinaus hat Microsoft beobachtet, dass Peach Sandstorm über das Karrierenetzwerk LinkedIn Informationen über Organisationen im Hochschul-, Satelliten- und Verteidigungssektor sammelt und möglicherweise Social Engineering betreibt.

Microsoft geht davon aus, dass Peach Sandstorm im Auftrag des Korps der Islamischen Revolutionsgarden (IRGC) operiert, basierend auf der Opferwahl und dem operativen Schwerpunkt der Gruppe. Microsoft glaubt, dass Peach Sandstorm Informationen sammelt, die den Interessen des iranischen Staates nutzen.

Microsoft beobachtet Peach-Sandstorm-Kampagnen, benachrichtigt direkt betroffene Kunden und stellt ihnen die erforderlichen Informationen zur Verfügung, um ihre Umgebung zu schützen. Im Rahmen unserer kontinuierlichen Überwachung und Analyse der Bedrohungslandschaft geben wir unsere Erkenntnisse über die Verwendung von Tickler durch Peach Sandstorm weiter, um das Bewusstsein für die sich ändernde Vorgehensweise der Hackergruppe zu schärfen und unsere Kunden darüber zu informieren, wie sie ihre Angriffsflächen gegen solche Aktivitäten verringern können. So hat Microsoft beispielsweise im jüngsten Bericht des Microsoft Threat Analysis Center (MTAC) Erkenntnisse über eine mögliche Beeinflussung der US-Wahlen durch den Iran veröffentlicht.

Entwicklung der Peach-Sandstorm-Taktik

Bei früheren Angriffen hat Peach Sandstorm erfolgreich Passwort-Spray-Angriffe eingesetzt, um sich Zugang zu relevanten Accounts zu verschaffen. Die Hacker sammelten zusätzlich Informationen über LinkedIn und suchten nach Organisationen und Einzelpersonen, die in den Bereichen Hochschulbildung, Satelliten und Verteidigung tätig sind.

Bei den jüngsten Operationen der Gruppe beobachtete Microsoft neue Taktiken, Techniken und Verfahren (tactics, techniques and procedures; TTPs) nach dem ersten Zugriff durch Passwort-Spray-Angriffe oder Social Engineering. Zwischen April und Juli 2024 setzte Peach Sandstorm eine neue, individuelle, mehrstufige Backdoor namens „Tickler“ ein und nutzte die Azure-Infrastruktur, die in betrügerischen, von den Angreifern kontrollierten Azure-Abonnements gehostet wurde, als Kommando- und Kontrollzentrale (command and control; C2). Microsoft überwacht Azure sowie alle Microsoft-Produkte und -Dienste kontinuierlich, um die Einhaltung der Nutzungsbedingungen sicherzustellen. Microsoft hat die betroffenen Organisationen benachrichtigt und die betrügerische Azure-Infrastruktur sowie die mit dieser Aktivität verbundenen Konten deaktiviert.

Abbildung 1. Angriffskette von Peach Sandstorm

Informationsbeschaffung über LinkedIn

Microsoft hat zwischen November 2021 bis Mitte 2024 beobachtet, dass Peach Sandstorm mehrere LinkedIn-Profile verwendet hat, die sich als Studierende, Entwickler*innen und Headhunter*innen mit Sitz in den USA oder Westeuropa ausgeben. Peach Sandstorm nutzt sie hauptsächlich, um Informationen zu sammeln und möglicherweise Social Engineering gegen die Sektoren Hochschulbildung, Satelliten und verwandte Branchen zu betreiben. Die identifizierten LinkedIn-Konten wurden inzwischen gelöscht. Informationen zu den Richtlinien von LinkedIn und Maßnahmen gegen „unauthentisches Verhalten“ auf der Plattform gibt es hier.

Passwort-Spray-Angriffe als gängige Angriffsmethode

Spätestens seit Februar 2023 beobachtet Microsoft, dass Peach Sandstorm Passwort-Spray-Aktivitäten gegen Tausende von Organisationen durchführt. Bei Passwort-Spray-Angriffen versuchen Hacker, sich mit einem einzigen Passwort oder einer Liste häufig verwendeter Passwörter bei vielen verschiedenen Konten zu authentifizieren. Im Gegensatz zu Brute-Force-Angriffen, die mit vielen Passwörtern auf ein einzelnes Konto abzielen, helfen Passwort-Spray-Angriffe den Hackern, ihre Erfolgschancen zu maximieren und die Wahrscheinlichkeit automatischer Kontosperrungen zu minimieren.

Microsoft hat beobachtet, dass, nachdem Peach Sandstorm die Anmeldedaten eines Zielkontos mit der Passwort-Spray-Technik verifiziert hat, sich der Angreifer anschließend über eine kommerzielle VPN-Infrastruktur in die gehackten Konten einloggen konnte.

Im April und Mai 2024 hat Microsoft außerdem erkannt, dass Peach Sandstorm Passwort-Spray-Angriffe gegen Verteidigungs-, Raumfahrt-, Bildungs- und Regierungsorganisationen in den Vereinigten Staaten und Australien durchführte. Insbesondere verwendete Peach Sandstorm den Client „go-http-client“, der häufig in Passwort-Spray-Kampagnen eingesetzt wird. Während die Passwort-Spray-Aktivität in allen Sektoren gleichmäßig verteilt zu sein schien, stellte Microsoft fest, dass Peach Sandstorm ausschließlich gehackte Benutzerkonten im Bildungssektor verwendete, um eine operative Infrastruktur aufzubauen. In diesen Fällen griffen die Angreifer auf bestehende Azure-Abonnements zu oder erstellten Abonnements mit einem gehackten Konto um ihre eigene Infrastruktur zu hosten. Die von den Hackern kontrollierte Azure-Infrastruktur diente dann als Kommando- und Kontrollzentrale (C2) oder Plattform für die Operationen von Peach Sandstorm, die auf den Regierungs-, Verteidigungs- und Raumfahrtsektor abzielten. Jüngste Aktualisierungen der Azure-Sicherheitsstandards wie die mehrstufige Authentifizierung tragen dazu bei, dass Azure-Konten widerstandsfähiger gegen Hackerangriffe sind wie sie von Peach Sandstorm durchgeführt wurden.

Microsoft Threat Intelligence hat zwei Muster der Tickler-Malware identifiziert. Das erste Muster war in einer Archivdatei namens Network Security.zip enthalten, zusammen mit harmlosen PDF-Dateien, die als Köderdokumente dienten. Weitere Informationen zu den genutzten Archivdateien finden sich im englischen Blogpost.

Weitere Informationen

Die neuesten Forschungsergebnisse der Microsoft Threat Intelligence Community stehen im Microsoft Threat Intelligence Blog. Um über neue Veröffentlichungen informiert zu werden und an Diskussionen in den sozialen Medien teilzunehmen, folgen Sie uns auf LinkedIn und auf X (ehemals Twitter). Um Geschichten und Einblicke aus der Microsoft Threat Intelligence-Community und die sich ständig verändernde Bedrohungslandschaft zu erhalten, können Sie sich auch den Microsoft Threat Intelligence-Podcast anhören.

Weitere Infos zu diesem Thema

16. Januar 2025
Copilot ist jetzt in Microsoft 365 Personal und Family enthalten

Microsoft geht einen weiteren großen Schritt in Richtung KI-gestützter Produktivität: Ab sofort ist Copilot in den Microsoft 365 Personal- und Family-Abonnements enthalten – eine Erweiterung, die Millionen von Abonnent*innen weltweit neue KI-Möglichkeiten eröffnet.

15. Januar 2025
Innovation im Einklang mit dem EU AI Act

Die Microsoft AI Tour machte vor Kurzem in Brüssel, Paris und Berlin Station. Dort trafen sich auch viele europäische Organisationen. Sie waren von den Möglichkeiten der neuesten KI-Technologien begeistert und arbeiten bereits an deren Implementierung. Gleichzeitig wurde deutlich: 2025 wird ein entscheidendes Jahr, denn mit dem Inkrafttreten des weltweit ersten umfassenden KI-Gesetzes beginnt ein neues Kapitel der digitalen Regulierung.

6. Dezember 2024
Sechs KI-Trends, von denen wir 2025 noch mehr sehen werden

Künstliche Intelligenz (KI) hat sich längst als unverzichtbares Werkzeug in Beruf und Alltag etabliert. Im Jahr 2025 wird sie jedoch weit mehr sein: KI wird neue Möglichkeiten eröffnen, komplexe Herausforderungen lösen und den Fortschritt in Wissenschaft und Gesellschaft beschleunigen.