Microsoft Threat Intelligence entdeckte, dass APT33 eine neuartige Malware namens Tickler einsetzt. Bei APT33 handelt es sich um eine Cybergruppierung mit Bezügen zum Iran. Die Malware wurde bereits bei Angriffen gegen Organisationen aus den Bereichen Regierung, Verteidigung, Satelliten, Öl und Gas eingesetzt. 

Von April bis Juli 2024 führte APT33 eine Cyberspionage-Kampagne durch und nutzte dabei Microsofts Azure-Infrastruktur als Command-and-Control-Infrastruktur (C2). Trotz Microsofts Gegenmaßnahmen setzte die Gruppierung ihre Kampagne fort und setzte neben Password-Spray-Angriffen auch Social-Engineering ein, um so weitere Informationen über ihre Ziele zu gewinnen.

Das Threat Intelligence Team konnte zwei Malware-Samples genauer untersuchen. Beim ersten Sample handelt es sich um eine ausführbare 64-Bit-C/C++-Datei, die zunächst die Datei kernel32.dll sucht und lädt, um ihre Funktionen auszuführen. Anschließend wird eine Köder-PDF geöffnet und die Malware sammelt im Hintergrund Netzwerkinformationen vom infizierten Host, die über eine HTTP-POST-Anfrage an den C2-Server gesendet werden.

Das zweite Sample ist eine verbesserte Version der ursprünglichen Malware. Die zweite Version namens „sold.dll“ fungiert als Trojaner-Dropper. Diese Version lädt zusätzliche Daten vom C2-Server herunter, einschließlich einer Backdoor und eines Batch-Skripts, um die Persistenz auf dem kompromittierten System aufrechtzuerhalten.

In einem Falle gelang APT33 durch Ausnutzung des Server-Message-Block-Protokolls (SMB) sich lateral durch das Netzwerk zu bewegen. Anschließend nutzte die Gruppierung dessen Dateifreigabefunktionen, um die Kontrolle über mehrere Systeme zu erlangen.

Microsoft stellt einen vollständigen Bericht sowie IOC über den Einsatz von Tickler durch APT33 zur Verfügung. Die Cyberabwehr rät daher allen Organisationen aus den oben genannten Bereichen zur Prüfung der eigenen Systeme anhand der von Microsoft zur Verfügung gestellten IOC.