Posté le septembre 11, 2022 à 9:21
DES HACKERS IRANIENS DÉCOUVERTS EN TRAIN D’EXPLOITER DES SYSTÈMES WINDOWS À L’AIDE DE BITLOCKER
Microsoft a révélé qu’un acteur de menaces parrainé par l’État Iranien a crypté les systèmes de ses victimes en exploitant la fonction Windows BitLocker. Le groupe de menaces, connu sous le nom de Nemesis Kitten et suivi sous le nom de DEV-0270, se montre vif dans l’exploitation de failles de sécurité récemment divulguées. Selon les conclusions de l’équipe d’analyse des menaces de Redmond, le groupe est également connu pour utiliser des binaires « living-off-the-land » (LOLBIN) dans ses attaques.
L’équipe a également découvert que les hackers ont exploité les vulnérabilités, bien qu’il ne soit pas clair comment les systèmes ont été affectés.
DEV-0270 demande une rançon de 8 000 $.
L’analyse de Microsoft est également conforme à celle de Redmond selon laquelle DEV-0270 utilise BitLocker. Il s’agit d’une fonctionnalité de protection des données qui permet un cryptage complet des appareils fonctionnant sous Windows 10, et 11 versions ainsi que Windows Server 2016 et supérieur.
L’acteur de la menace utilise DiskCryptor pour les postes de travail. DiskCryptor est un système open-source de cryptage complet du disque qui permet de crypter facilement l’ensemble du disque dur d’un appareil.
Selon le rapport, il faut compter deux jours entre le premier accès et la note de rançon plantée sur le système affecté. Il a été observé que DEV-0270 demande une rançon de 8 000 dollars pour libérer les clés de décryptage après des attaques réussies.
DEV-0270 est un sous-groupe du groupe Iranien Charming Kitten
Selon Redmond, DEV-0270 est une section du cyber-groupe Phosphorous soutenu par l’Iran, et également connu sous le nom d’APT35 et de Charming Kitten. Ce groupe de menaces est connu pour collecter des informations auprès de victimes de premier plan, telles que des organisations de défense, des ONG et des gouvernements.
Les chercheurs pensent également que le sous-groupe semble travailler au noir pour générer des revenus spécifiques à l’entreprise ou personnels. Microsoft a également fait une déclaration similaire, affirmant que le groupe pourrait faire partie d’un objectif majeur pour le principal acteur de menaces soutenu par l’Iran.
Le géant technologique a noté que plusieurs chevauchements d’infrastructure ont montré que le groupe est dirigé par une entreprise Iranienne connue pour avoir deux licences différentes : Lifeweb (lifeweb[.]it). et Secnerd (secnerd[.]ir). Ces organisations ont également été reliées à la société Najee Technology Hooshmand, basée en Iran.
Les acteurs de la menace exploitent des failles connues dans Fortnite
Le groupe a également été qualifié d’opportuniste typique dans son type de cibles. Ils parcourent l’internet à la recherche d’appareils et de serveurs vulnérables. Une fois qu’ils ont découvert une organisation dotée d’un serveur ou d’un réseau vulnérable, ils poursuivent leurs plans d’exploitation à l’aide de leurs outils.
Les acteurs de la menace ont exploité les vulnérabilités connues de Fortinet (CVE-2018-13379) ou d’Exchange (ProxyLogon). Par conséquent, il a été conseillé aux organisations d’appliquer des correctifs pour les vulnérabilités afin d’éviter toute exposition. Elles devraient appliquer des correctifs à leurs serveurs connectés à Internet dès que possible afin de prévenir les tentatives d’exploitation qui pourraient mener à des attaques de ransomware.
Au début du mois de mai de cette année, l’unité de lutte contre les menaces (Counter Threat Unit, CTU) de SecureWorks a découvert une activité similaire liée à un groupe de menaces que Secureworks a identifié sous le nom de COBALT MIRAGE. Selon le chercheur, le groupe de menaces présente des éléments aux caractéristiques similaires à celles du groupe APT Phosphorus.
Un autre groupe Iranien exploite les bugs non corrigés de Log4j2
Le mois dernier, des hackers Iraniens ont été vus en train d’exploiter des vulnérabilités non corrigées de Log4j 2 pour cibler des organisations Israéliennes.
Microsoft a attribué l’exploit au groupe de menaces fédérateur MuddyWater, également connu sous les noms de Static Kitten, Seedworm, Mercury et Cobalt Ulster. Microsoft a déclaré que le groupe de menaces est lié au ministère Iranien des Renseignements et de la Sécurité (MOIS).
Les attaquants sont connus pour utiliser des instances de SysAid Server non protégées contre le bug Log4Shell pour obtenir un accès initial.
Une fois que l’acteur de la menace a obtenu l’accès, Mercury commence à établir la persistance, à vider les informations d’identification et à se déplacer latéralement dans l’organisation ciblée. Le groupe utilise à la fois des outils sophistiqués et des outils de système d’exploitation personnalisés pour son attaque au clavier.
Le groupe a réussi son intrusion en déployant le shell web pour exécuter des commandes. Cela a permis aux hackers d’établir une présence, de mener une reconnaissance, de faciliter les mouvements latéraux et de voler des informations d’identification.
Ils ont également utilisé un logiciel de surveillance et de gestion à distance connu sous le nom de eHorus pendant les intrusions, ainsi qu’un outil de rétro-ingénierie connu sous le nom de Ligolo pour l’adversaire.
Le CSRB (Cyber Safety Review Board) du gouvernement Américain a toujours déclaré que les bogues critiques dans le cadre de journalisation open-source basé sur Java constituent toujours une faiblesse endémique. Il affirme que cette vulnérabilité continuera d’avoir un impact sur les organisations pendant des années, car les acteurs de menaces continuent d’évoluer dans leurs techniques d’exploitation. En conséquence, l’agence de sécurité a averti les organisations qu’elles devaient être plus conscientes de leur réseau afin de fournir des mécanismes ou des systèmes de protection plus solides contre les acteurs de menaces.
