A Peach Sandstorm új, egyedi malwaret használ a hírszerzési műveletek során
2024. áprilisa és júliusa között a Microsoft megfigyelte, hogy az iráni állam által támogatott Peach Sandstorm kiberszereplő egy új, egyedi, többlépcsős backdoor-t telepít, amelyet Ticklernek neveztek el. A Tickler-t a műholdas, a kommunikációs berendezések, az olaj- és gázipari, valamint az Egyesült Államok és az Egyesült Arab Emírségek szövetségi és állami kormányzati szektorában működő célpontok elleni támadásokban használták. Ez a tevékenység összhangban van a kiberszereplő tartós hírszerzési céljaival, és a régóta tartó kiberműveleteik legújabb fejleményét jelenti.
A Peach Sandstorm emellett folytatta az oktatási ágazat, valamint a műholdas, kormányzati és védelmi ágazatok, mint a hírszerzési célpontok elsődleges célpontjai elleni password spray támadásokat. Emellett a Microsoft a LinkedIn platformon keresztül megfigyelte a felsőoktatási, a műholdas és a védelmi szektoron belüli szervezeteket célzó hírszerzési és social engineering tevékenységeket. A Microsoft értékelése szerint a Peach Sandstorm a csoport viktimológiája és operatív fókusza alapján az iráni Iszlám Forradalmi Gárda (IRGC) nevében tevékenykedik. A Microsoft továbbá úgy értékeli, hogy a Peach Sandstorm műveleteinek célja az iráni állami érdekeket támogató hírszerzés megkönnyítése.
A csoport legutóbbi műveletei során a Microsoft új taktikákat, technikákat és eljárásokat (TTP-k) figyelt meg a password spray támadások vagy a social engineering révén történő kezdeti hozzáférést követően. 2024 áprilisa és júliusa között a Peach Sandstorm egy új, egyéni, többlépcsős backdoor-t, a Ticklert telepítette, és a C2-höz csalárd, támadó által ellenőrzött Azure-előfizetésekben elhelyezett Azure-infrastruktúrát használt. Egy európai védelmi szervezet megtámadását követően a Peach Sandstorm kiberszereplői SMB-n keresztül mozogtak oldalirányba.
A Microsoft Threat Intelligence azonosította a Tickler malware, egy egyedi, többlépcsős backdoor két mintáját, amelyet a Peach Sandstorm még 2024 júliusában telepített kompromittált környezetekben. Az első mintát egy Network Security[.]zip nevű archívumfájl tartalmazta a csalidokumentumként használt jóindulatú PDF-fájlok mellett. Az archív fájl két jóindulatú PDF-et és egy rosszindulatú PDF-et tartalmazott, amely a Tickler malware volt (YAHSAT NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20240421[.]pdf[.]exe).
