Microsoft ha rilevato nuovi attacchi da parte del gruppo Peach Sandstorm per conto del Corpo delle guardie della rivoluzione islamica. Tra aprile e luglio 2024 sono state colpite le reti di aziende che operano in vari settori negli Stati Uniti e negli Emirati Arabi Uniti. L’obiettivo è installare una nuova backdoor denominata Tickler.
Tattiche usate da Peach Sandstorm
L’accesso iniziale alle reti avviene tramite ingegneria sociale o password spray. Nel primo caso, i cybercriminali iraniani individuano i bersagli su LinkedIn creando account fasulli di studenti, sviluppatori o responsabili delle risorse umane. Nel secondo caso viene tentato l’accesso agli account usando una singola password o un elenco di password comuni.
I cybercriminali sfruttano spesso le credenziali della VPN aziendale o quelle dell’abbonamento Azure. L’infrastruttura cloud viene successivamente utilizzata per le funzionalità C2 (command and control). Dopo aver ottenuto l’accesso alla rete viene installata la backdoor Tickler.
Il malware raccoglie innanzitutto informazioni sul sistema. Viene quindi eseguito uno script batch che aggiunge la persistenza attraverso una chiave nel registro (esecuzione automatica al riavvio). La backdoor permette ovviamente l’accesso remoto, ma può anche eseguire comandi e cancellare file.
I cybercriminali eseguono anche altre attività. Sfruttando le vulnerabilità del protocollo SMB possono compromettere gli altri computer collegati alla rete aziendale. In alcuni casi viene anche scaricato e installato AnyDesk, noto tool di gestione e monitoraggio remoto. Microsoft fornisce un lungo elenco di misure preventive, tra cui l’uso di password robuste e l’attivazione dell’autenticazione multi-fattore.