Posté le avril 27, 2023 à 8:51
DES HACKERS IRANIENS CIBLENT DES ISRAELIENS EN UTILISANT DES TECHNIQUES DE PIRATAGE SOPHISTIQUÉES
Un groupe d’acteurs de la menace Iraniens, « Educated Manticore », a été associé à plusieurs cyberattaques visant des Israéliens. Ces hackers ont déployé une nouvelle version d’un logiciel malveillant que d’autres groupes renommés d’acteurs de la menace en Iran utilisent également.
Des hackers Iraniens mènent des cyberattaques visant des Israéliens
Outre ce logiciel malveillant populaire, les hackers Iraniens utilisent également d’autres stratégies de piratage rarement vues dans la nature. Cette activité de piratage a été signalée par une société de cybersécurité connue sous le nom de Check Point.
Les cyberattaques menées par ce groupe de hackers ont été détectées pour la première fois en janvier dernier. À l’époque, deux personnes utilisant des adresses IP israéliennes ont soumis un fichier malveillant compromis à VirusTotal. Ce dernier est une base de données qui recense les virus informatiques détectés dans la nature.
Le fichier malveillant est un fichier ISO nommé « Iraq development resources ». Le fichier ISO contient de nombreux fichiers, dont certains sont au format PDF. Ces fichiers ont été rédigés en plusieurs langues, telles que l’Arabe, l’Anglais et l’Hébreu. Ils contiennent également du contenu académique sur l’Irak.
Selon les recherches menées par Check Point, l’activité affichée lors de ces piratages montre que les hackers visaient des chercheurs universitaires. Le fichier ISO contient aussi trois dossiers. L’un des dossiers contient un fichier Jpeg intitulé « zoom.jpg ». L’un des autres fichiers contient le même fichier, mais il a été crypté.
L’un des fichiers a été étiqueté « ressources de développement de l’Irak ». Ce fichier contient un symbole indiquant qu’il s’agit d’un dossier alors qu’il s’agit en fait d’un fichier exécutable. Une fois ce fichier lancé, le logiciel malveillant proprement dit sera déployé.
Les personnes qui suivent le fichier .exe verront ce fichier décrypté et exécuteront un téléchargeur à partir du fichier zoom.jpg. Le fichier .exe est également accompagné d’un code malveillant qui trompera les utilisateurs tout en évitant d’être détecté par les logiciels antivirus.
Le téléchargeur est en outre accompagné d’un code indésirable et téléchargera un logiciel malveillant connu sous le nom de « PowerLess ». Ce téléchargeur servira de porte dérobée aux hackers, qui l’utiliseront pour accéder à l’ordinateur affecté.
L’outil PowerLess a déjà été utilisé par un groupe de hackers Iraniens connu sous le nom de Mint Sandstorm. Ce groupe de hackers porte également d’autres noms, tels que Phosphorous, APT35, APT42, TA453 et Charming Kitten. Cependant, la version détectée dans le fichier utilisé par Educated Manticore a été mise à jour pour contenir de nouvelles fonctionnalités.
La nouvelle version de l’outil PowerLess est accompagnée d’un code binaire .NET assemblé en mode mixte, ce qui montre qu’il contient du code C++ et .NET. Le mode mixte renforcerait la fonctionnalité de cet outil tout en rendant l’activité malveillante plus difficile à détecter.
La version de PowerLess utilisée par le groupe de hackers Phosphorous peut exécuter des commandes et télécharger des fichiers. Elle peut également arrêter des processus et voler des données de navigation. La nouvelle version peut aussi afficher une liste de fichiers et de processus. De plus, elle peut voler des données de l’application de messagerie Telegram sur les PC, faire des captures d’écran et enregistrer du son.
Check Point a également détecté d’autres attaques utilisant des fichiers connus sous les noms de « Iraq-project.rar » et « SignedAgreement.zip ». Ces fichiers sont associés à la violation du fichier ISO « Iraq development resources ». Les trois fichiers n’ont pas de chevauchement technique évident et ont tous pour thème l’Irak. Par ailleurs, les attaques utilisent des logiciels libres similaires pour charger des programmes.
Le groupe de hackers est nommé Educated Manticore
Dans son nouveau rapport, Check Point indique qu’au cours des dernières années, deux groupes de cyberactivité ont été associés à l’Iran. L’un de ces groupes est connu sous les noms de Nemesis Kitten, TunnelVision ou Cobalt Mirage. L’autre est connu sous les noms d’APT35, Charming Kitten ou Phosphorous. Ces groupes partagent des outils similaires, mais ils ont des cibles différentes et opèrent différemment.
L’activité des deux groupes a considérablement évolué et il est devenu plus difficile de les distinguer. Le rapport de Check Point indique qu’il n’y a pas de preuves suffisantes pour relier l’activité de la porte dérobée PowerLess à l’un ou l’autre de ces deux groupes. Les chercheurs ont donc suivi l’activité séparément des deux groupes et ont utilisé une nouvelle technique de dénomination.
Grâce à cette nouvelle convention de dénomination, Check Point a qualifié les menaces de créatures mythiques. Les menaces provenant de hackers Iraniens ont été baptisées « manticores ». Les cibles semblent être de nature académique d’après les activités récemment suivies. En raison du ciblage du secteur de l’éducation, les chercheurs ont désigné l’acteur de la menace derrière cette campagne sous le nom d’Educated Manticore (Manticore éduqué).
