Faraday
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

Piratas informáticos de Peach Sandstorm, respaldados por Irán, implementan una nueva puerta trasera llamada Tickler

Peach Sandstorm, un grupo de piratas informáticos supuestamente patrocinado por Irán, ha desarrollado una nueva puerta trasera personalizada de múltiples etapas para infiltrarse en sus objetivos en operaciones de ciberespionaje.

Microsoft Threat Intelligence, que detectó el nuevo malware, lo llamó Tickler.

Tickler se ha utilizado en ataques contra objetivos en los sectores de satélites, equipos de comunicaciones, petróleo y gas, así como en los sectores del gobierno federal y estatal en los EE. UU. y los Emiratos Árabes Unidos.

Microsoft Threat Intelligence ha identificado dos muestras del malware Tickler que Peach Sandstorm implementó en entornos comprometidos entre abril y julio de 2024.

La primera muestra estaba contenida en un archivo llamado Network Security.zip junto con archivos PDF legítimos utilizados como documentos señuelo.

La segunda muestra de Tickler, sold.dll, es un troyano que se instala en el sistema y es funcionalmente idéntico a la muestra identificada anteriormente.

Una vez ejecutadas, ambas muestras recopilan información de red de la máquina infectada y la envían a un servidor de comando y control (C2), lo que podría ayudar a los atacantes a comprender el diseño de la red comprometida.

Microsoft observó que Peach Sandstorm creaba inquilinos de Azure utilizando cuentas de correo electrónico de Microsoft Outlook y creaba suscripciones de Azure for Students en estos inquilinos.

Además, el grupo aprovechó las cuentas de usuario comprometidas en los inquilinos de Azure de organizaciones del sector educativo para hacer lo mismo. Dentro de estas suscripciones, Peach Sandstorm creó posteriormente recursos de Azure para su uso como C2 para la puerta trasera.

En el pasado, otros grupos de amenazas iraníes, incluido Smoke Sandstorm, utilizaron una táctica similar.

Perach Sandstorm es un grupo de ciberespionaje que ha estado activo al menos desde 2013. Microsoft cree que opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (RGC).

En campañas anteriores, Peach Sandstorm ha utilizado varias técnicas, incluida la recopilación de inteligencia a través de LinkedIn y ataques de rociado de contraseñas para obtener acceso a objetivos de interés.

Una vez que Peach Sandstorm obtiene acceso a una organización, se sabe que el actor de amenazas realiza movimientos laterales y acciones sobre los objetivos utilizando las siguientes técnicas:

  • Movimiento lateral a través del Bloque de mensajes del servidor (SMB)
  • Descarga e instalación de una herramienta de monitoreo y administración remota (RMM)
  • Toma de una instantánea de Microsoft Active Directory (AD)

Según Microsoft, el uso de una puerta trasera personalizada es coherente con los objetivos persistentes de recopilación de inteligencia del actor de amenazas y representa la última evolución de sus operaciones cibernéticas de larga data.

En su análisis Tickler, Microsoft Threat Intelligence proporcionó una lista de recomendaciones para mitigar los ataques mediante las técnicas, tácticas y procedimientos de Peach Sandstorm.

Estas incluyen:

  • Restablecer las contraseñas de las cuentas que sean el objetivo de un ataque de rociado de contraseñas
  • Revocar las cookies de sesión además de restablecer las contraseñas
  • Revocar cualquier cambio de configuración de autenticación multifactor (MFA) realizado por el atacante en las cuentas de los usuarios afectados
  • Requerir que se vuelva a solicitar la MFA para las actualizaciones de MFA como opción predeterminada
  • Implementar Azure Security Benchmark y las mejores prácticas generales para proteger la infraestructura de identidad
  • Proteger las cuentas con higiene de credenciales (por ejemplo, el principio del mínimo privilegio)
  • Implementar Microsoft Entra Connect Health para los Servicios de federación de Active Directory (AD FS)
  • Activar la protección de identidad en Microsoft Entra para supervisar los riesgos basados ​​en la identidad y crear políticas para los inicios de sesión riesgosos
  • Proteger los puntos de conexión del Protocolo de escritorio remoto (RDP) o de Windows Virtual Desktop con MFA para protegerse contra el rociado de contraseñas o los ataques de fuerza bruta

 

ARTÍCULOS RELACIONADOS

SendmarcZi zoom

OPINIÓN

Diplomatura en Data Governance & Privacy: la credencial que abre puertas en el mercado más competitivo de LATAM

La Diplomatura en Gestión y Estrategia en Ciberseguridad de la Universidad Austral

Diplomaturas en Ciberseguridad en Latam 2025-2026: Panorama académico y trayectoria

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO