Microsoft a r\u00e9v\u00e9l\u00e9 qu’un acteur de menaces parrain\u00e9 par l’\u00c9tat Iranien a crypt\u00e9 les syst\u00e8mes de ses victimes en exploitant la fonction Windows BitLocker. Le groupe de menaces, connu sous le nom de Nemesis Kitten et suivi sous le nom de DEV-0270, se montre vif dans l’exploitation de failles de s\u00e9curit\u00e9 r\u00e9cemment divulgu\u00e9es. Selon les conclusions de l’\u00e9quipe d’analyse des menaces de Redmond, le groupe est \u00e9galement connu pour utiliser des binaires \u00ab\u00a0living-off-the-land\u00a0\u00bb (LOLBIN) dans ses attaques.<\/p>\n\n\n\n
L’\u00e9quipe a \u00e9galement d\u00e9couvert que les hackers ont exploit\u00e9 les vuln\u00e9rabilit\u00e9s, bien qu’il ne soit pas clair comment les syst\u00e8mes ont \u00e9t\u00e9 affect\u00e9s.<\/p>\n\n\n\n
DEV-0270 demande une ran\u00e7on de 8 000 $.<\/strong><\/p>\n\n\n\n L’analyse de Microsoft est \u00e9galement conforme \u00e0 celle de Redmond selon laquelle DEV-0270 utilise BitLocker. Il s’agit d’une fonctionnalit\u00e9 de protection des donn\u00e9es qui permet un cryptage complet des appareils fonctionnant sous Windows 10, et 11 versions ainsi que Windows Server 2016 et sup\u00e9rieur.<\/p>\n\n\n\n L’acteur de la menace utilise DiskCryptor pour les postes de travail. DiskCryptor est un syst\u00e8me open-source de cryptage complet du disque qui permet de crypter facilement l’ensemble du disque dur d’un appareil.<\/p>\n\n\n\n Selon le rapport, il faut compter deux jours entre le premier acc\u00e8s et la note de ran\u00e7on plant\u00e9e sur le syst\u00e8me affect\u00e9. Il a \u00e9t\u00e9 observ\u00e9 que DEV-0270 demande une ran\u00e7on de 8 000 dollars pour lib\u00e9rer les cl\u00e9s de d\u00e9cryptage apr\u00e8s des attaques r\u00e9ussies.<\/p>\n\n\n\n DEV-0270 est un sous-groupe du groupe Iranien Charming Kitten<\/strong><\/p>\n\n\n\n Selon Redmond, DEV-0270 est une section du cyber-groupe Phosphorous soutenu par l’Iran, et \u00e9galement connu sous le nom d’APT35 et de Charming Kitten. Ce groupe de menaces est connu pour collecter des informations aupr\u00e8s de victimes de premier plan, telles que des organisations de d\u00e9fense, des ONG et des gouvernements.<\/p>\n\n\n\n Les chercheurs pensent \u00e9galement que le sous-groupe semble travailler au noir pour g\u00e9n\u00e9rer des revenus sp\u00e9cifiques \u00e0 l’entreprise ou personnels. Microsoft a \u00e9galement fait une d\u00e9claration similaire, affirmant que le groupe pourrait faire partie d’un objectif majeur pour le principal acteur de menaces soutenu par l’Iran.<\/p>\n\n\n\n Le g\u00e9ant technologique a not\u00e9 que plusieurs chevauchements d’infrastructure ont montr\u00e9 que le groupe est dirig\u00e9 par une entreprise Iranienne connue pour avoir deux licences diff\u00e9rentes : Lifeweb (lifeweb[.]it). et Secnerd (secnerd[.]ir). Ces organisations ont \u00e9galement \u00e9t\u00e9 reli\u00e9es \u00e0 la soci\u00e9t\u00e9 Najee Technology Hooshmand, bas\u00e9e en Iran.<\/p>\n\n\n\n Les acteurs de la menace exploitent des failles connues dans Fortnite<\/strong><\/p>\n\n\n\n Le groupe a \u00e9galement \u00e9t\u00e9 qualifi\u00e9 d’opportuniste typique dans son type de cibles. Ils parcourent l’internet \u00e0 la recherche d’appareils et de serveurs vuln\u00e9rables. Une fois qu’ils ont d\u00e9couvert une organisation dot\u00e9e d’un serveur ou d’un r\u00e9seau vuln\u00e9rable, ils poursuivent leurs plans d’exploitation \u00e0 l’aide de leurs outils.<\/p>\n\n\n\n Les acteurs de la menace ont exploit\u00e9 les vuln\u00e9rabilit\u00e9s connues de Fortinet (CVE-2018-13379) ou d’Exchange (ProxyLogon). Par cons\u00e9quent, il a \u00e9t\u00e9 conseill\u00e9 aux organisations d’appliquer des correctifs pour les vuln\u00e9rabilit\u00e9s afin d’\u00e9viter toute exposition. Elles devraient appliquer des correctifs \u00e0 leurs serveurs connect\u00e9s \u00e0 Internet d\u00e8s que possible afin de pr\u00e9venir les tentatives d’exploitation qui pourraient mener \u00e0 des attaques de ransomware.<\/p>\n\n\n\n Au d\u00e9but du mois de mai de cette ann\u00e9e, l’unit\u00e9 de lutte contre les menaces (Counter Threat Unit, CTU) de SecureWorks a d\u00e9couvert une activit\u00e9 similaire li\u00e9e \u00e0 un groupe de menaces que Secureworks a identifi\u00e9 sous le nom de COBALT MIRAGE. Selon le chercheur, le groupe de menaces pr\u00e9sente des \u00e9l\u00e9ments aux caract\u00e9ristiques similaires \u00e0 celles du groupe APT Phosphorus.<\/p>\n\n\n\n Un autre groupe Iranien exploite les bugs non corrig\u00e9s de Log4j2<\/strong><\/p>\n\n\n\n Le mois dernier, des hackers Iraniens ont \u00e9t\u00e9 vus en train d’exploiter des vuln\u00e9rabilit\u00e9s non corrig\u00e9es de Log4j 2 pour cibler des organisations Isra\u00e9liennes.<\/p>\n\n\n\n Microsoft a attribu\u00e9 l’exploit au groupe de menaces f\u00e9d\u00e9rateur MuddyWater, \u00e9galement connu sous les noms de Static Kitten, Seedworm, Mercury et Cobalt Ulster. Microsoft a d\u00e9clar\u00e9 que le groupe de menaces est li\u00e9 au minist\u00e8re Iranien des Renseignements et de la S\u00e9curit\u00e9 (MOIS).<\/p>\n\n\n\n Les attaquants sont connus pour utiliser des instances de SysAid Server non prot\u00e9g\u00e9es contre le bug Log4Shell pour obtenir un acc\u00e8s initial.<\/p>\n\n\n\n Une fois que l’acteur de la menace a obtenu l’acc\u00e8s, Mercury commence \u00e0 \u00e9tablir la persistance, \u00e0 vider les informations d’identification et \u00e0 se d\u00e9placer lat\u00e9ralement dans l’organisation cibl\u00e9e. Le groupe utilise \u00e0 la fois des outils sophistiqu\u00e9s et des outils de syst\u00e8me d’exploitation personnalis\u00e9s pour son attaque au clavier.<\/p>\n\n\n\n Le groupe a r\u00e9ussi son intrusion en d\u00e9ployant le shell web pour ex\u00e9cuter des commandes. Cela a permis aux hackers d’\u00e9tablir une pr\u00e9sence, de mener une reconnaissance, de faciliter les mouvements lat\u00e9raux et de voler des informations d’identification.<\/p>\n\n\n\n Ils ont \u00e9galement utilis\u00e9 un logiciel de surveillance et de gestion \u00e0 distance connu sous le nom de eHorus pendant les intrusions, ainsi qu’un outil de r\u00e9tro-ing\u00e9nierie connu sous le nom de Ligolo pour l’adversaire.<\/p>\n\n\n\n Le CSRB (Cyber Safety Review Board) du gouvernement Am\u00e9ricain a toujours d\u00e9clar\u00e9 que les bogues critiques dans le cadre de journalisation open-source bas\u00e9 sur Java constituent toujours une faiblesse end\u00e9mique. Il affirme que cette vuln\u00e9rabilit\u00e9 continuera d’avoir un impact sur les organisations pendant des ann\u00e9es, car les acteurs de menaces continuent d’\u00e9voluer dans leurs techniques d’exploitation. En cons\u00e9quence, l’agence de s\u00e9curit\u00e9 a averti les organisations qu’elles devaient \u00eatre plus conscientes de leur r\u00e9seau afin de fournir des m\u00e9canismes ou des syst\u00e8mes de protection plus solides contre les acteurs de menaces.<\/p>\n","protected":false},"excerpt":{"rendered":"