Posté le février 1, 2022 à 7:08
DES HACKERS SOUTENUS PAR L’ÉTAT IRANIEN CIBLENT LE GOUVERNEMENT TURC, PRÉVIENNENT DES CHERCHEURS EN SÉCURITÉ
Un rapport récent a révélé que le gouvernement turc est devenu la cible de hackers parrainés par l’Iran. Le rapport indique que ces acteurs se font passer pour les ministères turcs de l’Intérieur et de la Santé pour implanter leurs logiciels malveillants dans les réseaux de leurs victimes.
Des chercheurs en cybersécurité de Cisco Talos ont révélé cette semaine qu’une menace persistante avancée (APT) appelée MuddyWater est responsable de l’exploit. Les chercheurs ont révélé que le groupe APT a des liens avec le ministère iranien du Renseignement et de la Sécurité (MOIS).
MuddyWater, également connu sous le nom de Static Kitten ou Mercury, a été découvert en 2017 et est actif depuis lors. Le groupe a également été lié à des exploits sur des organisations dans différentes régions, notamment en Israël, au Moyen-Orient, en Europe et aux États-Unis.
Le mois dernier, le Cyber Command américain a relié l’APT au gouvernement iranien. Selon l’unité de sécurité, le groupe APT est l’un des nombreux autres groupes iraniens menant des activités de renseignement iranien.
« MuddyWater est un élément subordonné au sein du MOIS, selon le » US Cyber Command.
Le MOIS exerce une surveillance intérieure pour identifier les opposants au régime. En outre, il surveille les activités anti-régime dans d’autres régions via son réseau d’agents situés dans les ambassades d’Iran.
La dernière campagne a commencé en novembre de l’année dernière
Les chercheurs de Talos, Victor Ventura et Asheer Malhotra, ont déclaré que la dernière campagne de MuddyWater a débuté en novembre 2021. Elle utilise des documents Microsoft Office et des PDF comme vecteurs d’attaque initiaux.
Des emails de phishing contenant des pièces jointes malveillantes sont usurpés, semblant provenir des ministères turcs de l’Intérieur et de la Santé. Ces acteurs de menaces ont beaucoup de cibles de grande valeur, notamment le Conseil de la recherche scientifique et technologique de Turquie (Tubitak).
En outre, le fichier infecté par le logiciel malveillant contient des macros VBA intégrées qui sont conçues pour déclencher un script PowerShell. Cela se traduit par l’utilisation de Living Off the Land Binaries (LOLBins), la création d’une clé de registre pour la persistance et l’exécution d’un téléchargeur pour l’exécution de code arbitraire. Une fois les codes plantés, ils peuvent être utilisés pour détourner le réseau et prendre le contrôle de la machine.
Après avoir obtenu l’accès au système, MuddyWater se concentre ensuite sur trois exploitations : le déploiement de ransomwares, le vol de propriété intellectuelle et le cyberespionnage au profit d’intérêts étatiques. Le ransomware est parfois déployé pour détruire toute preuve des opérations du groupe ou déstabiliser les opérations de l’organisation victime.
Mais les vérifications effectuées sur les serveurs de commande et de contrôle de l’opérateur (C2) font que les chercheurs n’ont pas pu sécuriser la charge utile finale de la campagne.
L’APT surveille également ses intrusions en adoptant des canary tokens. Il s’agit de « canary » numériques qui informe l’opérateur lorsqu’un utilisateur ouvre un fichier. Ils sont généralement utilisés par les chercheurs en sécurité pour détecter et surveiller les intrusions, mais sont également utiles aux acteurs de menaces pour vérifier les infections réussies.
Le FBI met en garde contre une autre attaque parrainée par l’Iran
Le Federal Bureau of Investigations (FBI) des États-Unis a émis une mise en garde contre les activités malveillantes menées par une cybersociété iranienne connue sous le nom d’Emennet Pasargad.
Le FBI a partagé les méthodes d’exploitation de l’organisation pour permettre aux organisations de faire face à la menace.
La menace des acteurs étatiques en provenance d’Iran a dominé les discussions sur la sécurité de plusieurs chercheurs et agences de sécurité. En novembre de l’année dernière, le département du Trésor américain a sanctionné six ressortissants iraniens pour leur rôle dans une campagne de logiciels malveillants qui a tenté d’entraver les élections générales de 2020.
Emennet a également ciblé plusieurs secteurs aux États-Unis
L’entreprise change constamment de nom et de marque pour rester sous le radar tout en réalisant ses exploits. Si Emennet continue de menacer la sécurité des organisations étrangères, elle est restée utile en Iran, où elle fournit des services de cybersécurité, notamment aux agences gouvernementales.
Lorsque le Trésor a annoncé ces sanctions, deux employés d’Emennet ont été inculpés par le ministère de la Justice pour avoir piraté et fourni des informations erronées sur l’élection présidentielle.
Dans l’alerte du FBI, l’agence ajoute qu’Emennet a également mené une « cyber-exploitation traditionnelle » qui a visé des secteurs tels que la pétrochimie, les télécommunications, les voyages, le transport maritime et les secteurs financiers. Ils ont ciblé le Moyen-Orient, l’Europe et les États-Unis, selon l’alerte.
Les acteurs de la menace ont utilisé différents VPN pour cacher leur emplacement. Ils ont également utilisé plusieurs outils commerciaux et open-source dans leurs opérations, tels que Netparker, Wappalyzer, Acunetix, wpscan et SQLmap.
Les hackers ont également sélectionné leurs victimes potentielles en recherchant de grandes organisations représentant divers secteurs. Après avoir trouvé l’organisation, ils se lancent dans une recherche approfondie de vulnérabilités au sein de ses serveurs pour obtenir un premier accès.