# Operation Tickler 2024 > [!high] Campanha de Espionagem - Peach Sandstorm / APT33 com Azure C2 > **Operation Tickler 2024** foi uma campanha de espionagem cibernética conduzida pelo grupo iraniano [[g0064-apt33]] (APT33, Refined Kitten) entre abril e julho de 2024, utilizando um novo malware personalizado denominado **Tickler** com infraestrutura C2 hospedada na **Microsoft Azure**. A campanha visou organizações dos setores de governo, defesa, satélites, energia e educação nos EUA, Emirados Árabes Unidos e Austrália. ## Visão Geral A Operation Tickler 2024 foi documentada pela Microsoft em agosto de 2024, como parte do rastreamento contínuo do grupo [[g0064-apt33]] (também rastreado como APT33, Holmium, Elfin e Refined Kitten). O grupo é atribuído ao IRGC (Corpo da Guarda Revolucionária Islâmica do Irã) e possui histórico de espionagem e operações destrutivas contra adversários geopolíticos do Irã. O diferencial técnico da Operation Tickler foi o uso da infraestrutura da **Microsoft Azure** como plataforma de C2 - um uso abusivo de serviços cloud legítimos para dificultar a detecção e o bloqueio. O grupo criou subscrições fraudulentas no Azure usando contas comprometidas de usuários comuns, hospedando a infraestrutura de comando e controle do malware Tickler em serviços legítimos de nuvem. O [[tickler]] é um backdoor customizado de múltiplos estágios desenvolvido específicamente para essa campanha. Após a fase de acesso inicial - predominantemente via password spraying contra contas Microsoft 365 e servidores expostos à internet - o grupo implantava o Tickler para manutenção de acesso persistente e exfiltração de dados. A escolha dos alvos reflete os interesses estratégicos do IRGC: organizações de defesa e governo dos EUA e seus aliados na região do Golfo, setores de satélites e comúnicações (relevantes para inteligência de sinais), e setor de energia (crítico para a política de sanções contra o Irã). Organizações educacionais foram também comprometidas, possívelmente para acesso a pesquisas de uso dual. ## Attack Flow ```mermaid graph TB A["Password Spraying<br/>Microsoft 365 e servidores<br/>expostos à internet"] --> B["Acesso a Conta Válida<br/>Email corporativo e<br/>dados organizacionais"] B --> C["Reconhecimento<br/>Identificação de alvos<br/>de alto valor na rede"] C --> D["Implantação do Tickler<br/>Backdoor multi-estágio<br/>via script PowerShell"] D --> E["C2 via Azure<br/>Infraestrutura legítima<br/>de nuvem comprometida"] E --> F["Persistência<br/>Tarefas agendadas<br/>e chaves de registro"] F --> G["Exfiltração<br/>Dados estratégicos<br/>para infraestrutura Azure"] ``` > **Ator:** [[g0064-apt33]] (IRGC) | **Malware:** Tickler | **C2:** Microsoft Azure | **Período:** abr-jul 2024 ## Linha do Tempo ```mermaid timeline title Operation Tickler 2024 - Linha do Tempo 2024-04 : Início das campanhas de password spraying contra alvos nos EUA e Golfo 2024-05 : Implantação do Tickler backdoor nos primeiros alvos comprometidos 2024-06 : Expansão para organizações de satélite e energia 2024-07 : Última atividade documentada da campanha 2024-08 : Microsoft publica análise da Operation Tickler 2024 ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Password Spraying | [[t1110-003-password-spraying\|T1110.003]] | Ataques de força bruta com senhas comuns contra contas Microsoft 365 | | Adquirir Domínios | [[t1583-001-domains\|T1583.001]] | Domínios registrados para infraestrutura de suporte | | Serviços Web (Azure) | [[t1583-006-web-services\|T1583.006]] | Subscrições Azure comprometidas/fraudulentas como plataforma C2 | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts para implantação e configuração do Tickler | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 hospedado no Azure | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Uso de credenciais Microsoft 365 comprometidas | ## Sobre o Tickler Backdoor O [[tickler]] é um backdoor customizado de múltiplos estágios desenvolvido específicamente pelo [[g0064-apt33]] para essa campanha. Características principais: - **Múltiplos estágios**: Loader + backdoor principal, com cada estágio verificando o ambiente antes de prosseguir - **C2 via Azure**: Comúnicação com infraestrutura de C2 hospedada em serviços legítimos do Azure, dificultando bloqueio baseado em reputação de IP - **Persistência robusta**: Múltiplos mecanismos - tarefa agendada, chave Run no registro, serviço Windows - **Capacidades**: Acesso remoto completo, upload/download de arquivos, execução de comandos arbitrários - **Coleta de arquivos**: Foco em documentos Office, PDFs e arquivos de e-mail (.msg, .pst) ## Vítimas e Impacto **Setores e países comprometidos:** - Governo e defesa - EUA (alvos principais) - Setor de satélites e comúnicações espaciais - EUA e aliados - Energia - Emirados Árabes Unidos e Arábia Saudita - Telecomúnicações - região do Golfo - Educação - universidades com pesquisa de uso dual **Escala:** Dezenas de organizações comprometidas durante a campanha de 4 meses. **Impacto estratégico:** - Coleta de inteligência sobre capacidades militares e posições estratégicas dos EUA - Monitoramento de comúnicações de aliados dos EUA na região do Golfo - Acesso potencial a informações sobre sistemas de satélites (relevante para inteligência de sinais e vigilância) - Dados sobre infraestrutura de energia em países adversários do Irã ## Relevância LATAM e Brasil A Operation Tickler não teve impacto direto no Brasil ou LATAM, mas apresenta alertas relevantes: - **C2 via serviços cloud legítimos**: A técnica de usar o Azure como plataforma C2 é cada vez mais comum - inclui grupos que operam na LATAM. Filtros baseados apenas em reputação de IP são insuficientes; é necessário inspeção de tráfego para destinos cloud - **Password spraying contra Microsoft 365**: Esta técnica é universal e amplamente usada contra organizações brasileiras. O padrão do [[g0064-apt33]] (em torno de 4 tentativas por hora por conta para evitar bloqueio) é documentado e deve ser incluído nos thresholds de detecção de equipes de [[defense|defesa]] brasileiras - **Setor de energia como alvo**: O Brasil é o maior produtor de energia da América Latina - o setor energético brasileiro (Petrobras, distribuidoras, usinas) pode ser alvo de campanhas similares por atores com interesses geopolíticos na região ## Detecção e Defesa **Controles recomendados:** - Implementar [[m1032-multi-factor-authentication|M1032]] resistente a phishing (FIDO2/hardware tokens) em todas as contas Microsoft 365 - Configurar políticas de bloqueio progressivo para tentativas de login com threshold baixo (3-5 tentativas) - Monitorar criação de subscrições Azure ou recursos cloud não autorizados - Inspecionar tráfego para endpoints Azure em busca de padrões de C2 (beaconing regular, payloads codificados) **Indicadores comportamentais:** - Logins bem-sucedidos de localizações geográficas inesperadas (principalmente Irã, IPs de hosting anônimo) - Criação de recursos Azure em subscrições não padrão da organização - PowerShell baixando e executando payloads de endpoints Azure não autorizados - Padrões de acesso a arquivos .msg, .pst, .pdf em sequência rápida **Monitorar via:** - [[ds-0028-logon-session|DS-0028]] - Logon Session: logins de localizações inesperadas - [[ds-0029-network-traffic|DS-0029]] - Network Traffic: beaconing para endpoints Azure não autorizados ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-tickler-malware-in-long-running-intelligence-gathering-operations/) Microsoft Security - Peach Sandstorm Deploys New Tickler Malware (2024) - [2](https://attack.mitre.org/groups/G0064/) MITRE ATT&CK - Peach Sandstorm / APT33 Group Profile (G0064) - [3](https://www.mandiant.com/resources/apt33-insights-into-iranian-cyber-espionage) Mandiant - APT33 Insights into Iranian Cyber Espionage - [4](https://www.crowdstrike.com/blog/apt33-targeted-attacks-energy-government-sectors/) CrowdStrike - APT33 Targeted Attacks on Energy and Government (2017) - [5](https://www.securityweek.com/microsoft-warns-of-iranian-state-hackers-new-tickler-backdoor/) SecurityWeek - Microsoft Warns of Iranian Tickler Backdoor (2024)