Microsoft met en garde contre l’évolution de six groupes de piratage iraniens

Iran Flag

Le Microsoft Threat Intelligence Center (MSTIC) a présenté une analyse de l’évolution de plusieurs acteurs de la menace iraniens à la CyberWarCon 2021, et leurs résultats montrent des attaques de plus en plus sophistiquées.

Depuis septembre 2020, Microsoft traque six groupes de piratage iraniens qui déploient des ransomwares et exfiltrent des données pour perturber et détruire les victimes.

Au fil du temps, ces groupes de piratage sont devenus des acteurs de la menace compétents capables de mener du cyber-espionnage, en utilisant des logiciels malveillants multiplateformes, en perturbant les opérations avec des essuie-glaces et des ransomwares, en menant des attaques de phishing et de pulvérisation de mots de passe, et même en mettant en place des opérations de chaîne d’approvisionnement sophistiquées.

Chronologie de l'activité des acteurs iraniens
Chronologie de l’activité des acteurs iraniens
Source : Microsoft

Tous ces groupes déploient des ransomwares pour atteindre leurs objectifs et ont été déployés par vagues, généralement à six à huit semaines d’intervalle.

Cette année, Microsoft a observé que les acteurs recherchaient de nombreuses vulnérabilités, notamment celles ciblant le VPN SSL Fortinet FortiOS, les serveurs Microsoft Exchange vulnérables à ProxyShell, etc.

On estime qu’en recherchant uniquement les systèmes VPN Fortinet non corrigés, les acteurs ont obtenu plus de 900 informations d’identification valides sous forme de texte brut jusqu’à présent cette année.

Collecte des informations d’identification des patients

Une autre tendance qui a émergé l’année dernière est un niveau accru de patience et de persévérance dans les campagnes d’ingénierie sociale, signe d’un acteur sophistiqué.

Auparavant, des acteurs comme Phosphorus (Charming Kitten) envoyaient des e-mails non sollicités avec des liens malveillants et des pièces jointes, une tactique en masse qui avait un succès limité.

Désormais, Phosphorus suit le chemin fastidieux des « invitations à des entretiens », une méthode inaugurée par le groupe de piratage nord-coréen « Lazarus ».

Au cours de ces attaques, les acteurs de Phosphorus appellent les cibles et les guident en cliquant sur les pages de collecte d’informations d’identification dans le cadre du processus d’entretien.

Un nouveau groupe qui suit des tactiques tout aussi patientes s’appelle « Curium », et les analystes de Microsoft affirment que cet acteur exploite un vaste réseau de faux comptes de médias sociaux, généralement déguisés en femmes attirantes.

Ils contactent les cibles et établissent des relations sur un certain temps, en discutant quotidiennement et en gagnant leur confiance.

Puis, un jour, ils envoient un document malveillant qui ressemble à des fichiers bénins envoyés précédemment, ce qui entraîne des suppressions furtives de logiciels malveillants.

Une tactique similaire a été utilisée par le groupe de piratage lié au Hamas, qui a créé de fausses applications de rencontres pour inciter les Forces de défense israéliennes (FDI) à installer des applications mobiles contenant des logiciels malveillants.

On ne sait pas si ces deux campagnes sont liées.

Brute forçant un chemin dans

Bien que certains acteurs se déplacent plus méthodiquement, d’autres préfèrent utiliser des attaques de « force brute » pour obtenir l’accès aux comptes Office 365 de manière agressive.

L’un de ces acteurs malveillants est DEV-0343, qui a été vu en train de cibler des sociétés de technologie de défense américaines et de lancer des attaques massives par pulvérisation de mots de passe le mois dernier.

Microsoft rapporte que DEV-0343 se déplace beaucoup plus rapidement que les groupes mentionnés ci-dessus, accédant généralement aux comptes cibles le même jour.

En outre, les chercheurs ont constaté des chevauchements tels que le ciblage simultané de comptes spécifiques par les opérateurs DEV-0343 et « Europium », preuve évidente d’une action coordonnée.

Les hackers iraniens continuent d’évoluer

Microsoft traque les acteurs iraniens depuis près d’une décennie, et le géant de la technologie a réussi à mettre hors ligne certaines parties de son infrastructure.

Malgré ces efforts, Phosphorus a réussi à porter des coups importants, un exemple notable étant le piratage de hauts fonctionnaires en octobre de l’année dernière.

MSTIC observations les plus récentes souligner que Phosphorus n’est pas seulement bel et bien vivant, mais une menace métamorphosée soutenue par des collaborateurs d’un pluralisme sans précédent.