Posté le février 27, 2022 à 6:15
DES HACKERS PARRAINÉS PAR LE GOUVERNEMENT IRANIEN CHERCHENT À VOLER DES MOTS DE PASSE ET INSTALLER DES LOGICIELS MALVEILLANTS
Les agences de cybersécurité des États-Unis et du Royaume-Uni ont révélé que des acteurs de menaces parrainés par le gouvernement Iranien ciblent les réseaux commerciaux et gouvernementaux du monde entier.
L’avis a été publié par le NCSC (National Cyber Security Center) du Royaume-Uni et la CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis.
Selon l’avis conjoint, le groupe de menaces persistantes avancées (APT) diffuse un logiciel malveillant appelé MuddyWater pour permettre au gouvernement Iranien d’accéder à des données volées. Ils partagent également les informations volées avec d’autres acteurs malveillants.
Les acteurs de la menace ont été découverts cette année alors qu’ils menaient des opérations malveillantes dans le cadre du ministère Iranien du renseignement (MOIS). Ils ont été mis en place pour cibler un grand nombre d’institutions gouvernementales et d’organisations de premier plan dans différentes régions du monde, notamment aux États-Unis et en Europe. Ces organisations appartiennent à différentes institutions et industries, notamment les secteurs de la défense, des télécommunications et du gaz naturel.
Le Wider Security Network a également suivi la trace de MuddyWater, qui a reçu différents noms tels que Seedworm, Static Kitten, TEMP. Zagros, MERCURY, et Earth Vetala. Le groupe est connu pour avoir organisé des cybercrimes et lancé des attaques en ligne depuis 2018 pour atteindre les objectifs du MOIS. On ne sait pas exactement combien d’organisations ont été touchées depuis que le nouveau logiciel malveillant est devenu actif dans la nature.
Le groupe APT utilise différents outils open-source
Outre l’exploitation des vulnérabilités signalées publiquement, le groupe APT utilise également des outils open-source pour accéder sans autorisation aux données en déployant des ransomwares.
Au cours d’une enquête menée par Cisco Talos, l’entreprise de sécurité a découvert que le groupe de menaces avait déjà mené une campagne de logiciels malveillants visant des institutions gouvernementales turques et des organisations privées dans le but de déployer une porte dérobée basée sur PowerShell.
En outre, les récentes activités des logiciels malveillants découvertes par les agences de sécurité américaines et britanniques suivent une approche similaire à celle de la précédente campagne de logiciels malveillants menée par le même groupe. Ils utilisent des scripts PowerShell obscurcis pour dissimuler leur attaque, qui pourrait rester indétectée pendant longtemps, y compris les fonctions de commande et de contrôle (C2).
Les hackers utilisent des campagnes de harponnage (spear-phishing)
L’observation de l’action contre les menaces indique qu’elles sont facilitées par une campagne de spear-phishing qui tente de tromper ses cibles pour qu’elles téléchargent des fichiers Zip infestés de logiciels malveillants. Ces fichiers contiennent soit un PDF qui transmet une charge utile malveillante au système cible, soit un fichier Excel contenant une macro malveillante.
Les agences ont également observé que le groupe APT utilise différents jeux de logiciels malveillants pour rendre sa campagne plus efficace. Ainsi, si un ensemble de logiciels malveillants est découvert par le logiciel de sécurité, d’autres ensembles de logiciels malveillants poursuivent leurs opérations.
Ces ensembles comprennent POWERSTATS, Mori, Small Sieve et PowGoop pour l’exfiltration, la fourniture d’un accès par porte dérobée et le chargement de logiciels malveillants.
Alors que Small Sieve est un implant basé sur Python utilisé pour rester plus longtemps dans un réseau, PowGroup est un chargeur qui télécharge des scripts PowerShell de deuxième niveau.
Les deux sont utilisés par les acteurs de la menace pour rester plus longtemps dans le système affecté et éviter d’être détectés. Compte tenu de la conception et du niveau de sophistication des logiciels malveillants, il est généralement très difficile pour les logiciels de sécurité de repérer les infractions. C’est parce qu’ils utilisent généralement l’API Telegram pour les communications C2 afin d’échapper à la détection.
Le groupe APT fait preuve d’un haut niveau de sophistication
Le groupe APT utilise également d’autres logiciels malveillants. Il s’agit notamment d’un fichier de script Windows (.WSF) permettant de collecter et de transmettre des métadonnées système à une adresse IP contrôlée par l’adversaire.
POWERSTATS et Mori sont deux portes dérobées utilisées par les acteurs lorsqu’ils exécutent des commandes reçues du C2 pour maintenir l’accès au système affecté.
MuddyWatter utilise également d’autres arsenaux d’outils pour s’assurer qu’ils restent persistants dans les appareils ou systèmes affectés aussi longtemps que possible. Les agences ont observé que le groupe utilise un script d’enquête pour transmettre des informations sur l’ordinateur des victimes. Les détails sont transmis au serveur C2, où l’acteur de la menace peut prendre des mesures supplémentaires sur les méthodes d’attaque.
Une porte dérobée PowerShell récemment identifiée est également déployée, et est utilisée par les acteurs pour exécuter des commandes.
Les organisations devraient mettre en œuvre des mesures de sécurité
Les agences ont recommandé aux organisations comment protéger leurs systèmes et éviter d’être victimes de cette nouvelle vague d’attaques.
Ils ont recommandé que l’authentification multifactorielle soit utilisée chaque fois que cela est possible. Cela créera des difficultés pour les attaques potentielles. En outre, les organisations devraient minimiser l’utilisation des privilèges administrateurs tout en s’assurant qu’elles corrigent toujours les vulnérabilités exploitées connues dès que possible. La mise en place de protections contre le phishing est également connue pour contribuer à éloigner les acteurs de la menace, ont conseillé les agences de sécurité.
