Un acteur de la menace iranienne a lancé une nouvelle campagne de cyberespionnage contre une éventuelle cible libanaise avec une porte dérobée capable d’exfiltrer des informations sensibles à partir de systèmes compromis.
La société de cybersécurité Check Point a attribué l’opération à APT34, citant des similitudes avec les techniques précédentes utilisées par l’acteur de la menace ainsi que sur la base de son modèle de victimologie.
APT34 (alias OilRig) est connu pour ses campagnes de reconnaissance alignées sur les intérêts stratégiques de l’Iran, touchant principalement les industries financières, gouvernementales, énergétiques, chimiques et des télécommunications au Moyen-Orient.
Le groupe recourt généralement à cibler des individus en utilisant des documents d’offre d’emploi piégés, livrés directement aux victimes via des messages LinkedIn, et la dernière campagne ne fait pas exception, bien que le mode de livraison reste encore flou.
Le document Word analysé par Check Point – qui était téléversé à VirusTotal du Liban le 10 janvier – prétend offrir des informations sur différents postes dans une société de conseil basée aux États-Unis nommée Ntiva IT, uniquement pour déclencher la chaîne d’infection lors de l’activation des macros malveillantes intégrées, aboutissant finalement au déploiement d’une porte dérobée appelée « SideTwist . «
Outre la collecte d’informations de base sur la machine de la victime, la porte dérobée établit des connexions avec un serveur distant pour attendre des commandes supplémentaires qui lui permettent de télécharger des fichiers à partir du serveur, de télécharger des fichiers arbitraires et d’exécuter des commandes shell, dont les résultats sont renvoyés au serveur. serveur.
Check Point note que l’utilisation de nouvelles portes dérobées indique les efforts continus du groupe pour réviser et mettre à jour son arsenal de charges utiles à la suite d’un 2019 fuite de ses outils de piratage, qui ont également détruit plusieurs officiers du ministère iranien du renseignement impliqués dans les opérations APT34.
« L’APT34, soutenu par l’Iran, ne montre aucun signe de ralentissement, poussant davantage son programme politique au Moyen-Orient, avec un accent continu sur le Liban – en utilisant des cyberopérations offensives », les chercheurs mentionné. « Tout en conservant son modus operandi et en réutilisant les anciennes techniques, le groupe continue de créer des outils nouveaux et mis à jour pour minimiser la détection éventuelle de leurs outils par les éditeurs de sécurité. »
