Avvxseg4Jnlspciro3D9Mu Vrqeu2Vhsex4Sjfopuh2Ejtl Mvtkxmpbpsywochqyurr5Oiwtzrybuqj B

Un acteur de la menace du lien géopolitique iranien a été découvert en train de déployer deux nouveaux logiciels malveillants ciblés dotés de fonctionnalités de porte dérobée « simples » dans le cadre d’une intrusion contre une entité gouvernementale anonyme du Moyen-Orient en novembre 2021.

La société de cybersécurité Mandiant a attribué l’attaque à un cluster non catégorisé qu’elle suit sous le surnom UNC3313qu’il évalue avec une « confiance modérée » en tant qu’associé au groupe parrainé par l’État MuddyWater.

« UNC3313 effectue une surveillance et collecte des informations stratégiques pour soutenir les intérêts et la prise de décision iraniens », ont déclaré les chercheurs Ryan Tomcik, Emiel Haeghebaert et Tufail Ahmed. mentionné. « Les schémas de ciblage et les leurres associés démontrent une forte concentration sur les cibles ayant un lien géopolitique. »

Sauvegardes Github Automatiques

À la mi-janvier 2022, les agences de renseignement américaines ont caractérisé MuddyWater (alias Static Kitten, Seedworm, TEMP.Zagros ou Mercury) comme un élément subordonné du ministère iranien du renseignement et de la sécurité (MOIS) qui est actif depuis au moins 2018 et est connu pour utiliser une large gamme d’outils et de techniques dans ses opérations.

Les attaques auraient été orchestrées via des messages de harponnage pour obtenir un accès initial, suivis de l’utilisation d’outils de sécurité offensifs et d’un logiciel d’accès à distance accessibles au public pour les déplacements latéraux et le maintien de l’accès à l’environnement.

Publicité

Les e-mails de phishing ont été conçus avec un leurre de promotion d’emploi et ont trompé plusieurs victimes pour qu’elles cliquent sur une URL pour télécharger un fichier d’archive RAR hébergé sur OneHub, ce qui a ouvert la voie à l’installation de ScreenConnect, un logiciel d’accès à distance légitime pour prendre pied.

Empêcher Les Violations De Données

« UNC3313 a rapidement établi un accès à distance en utilisant ScreenConnect pour infiltrer les systèmes dans l’heure suivant la compromission initiale », ont noté les chercheurs, ajoutant que l’incident de sécurité avait été rapidement maîtrisé et corrigé.

Les phases suivantes de l’attaque impliquaient l’escalade des privilèges, la réalisation d’une reconnaissance interne sur le réseau ciblé et l’exécution de commandes PowerShell obscurcies pour télécharger des outils et des charges utiles supplémentaires sur des systèmes distants.

Une porte dérobée précédemment non documentée appelée STARWHALE a également été observée, un fichier de script Windows (.WSF) qui exécute les commandes reçues d’un serveur de commande et de contrôle (C2) codé en dur via HTTP.

Un autre implant livré au cours de l’attaque est GRAMDOOR, ainsi nommé en raison de son utilisation de l’API Telegram pour ses communications réseau avec le serveur contrôlé par l’attaquant dans le but d’échapper à la détection, soulignant une fois de plus l’utilisation d’outils de communication pour faciliter l’exfiltration. de données.

Les conclusions coïncident également avec un nouvel avis conjoint des agences de cybersécurité du Royaume-Uni et des États-Unis, accusant le groupe MuddyWater d’attaques d’espionnage ciblant les secteurs de la défense, des administrations locales, du pétrole et du gaz naturel et des télécommunications à travers le monde.


Rate this post
Publicité
Article précédentMy Hero Academia prépare la confrontation finale de Dabi avec Shoto
Article suivantHTC dévoile sa vision Viverse du métaverse
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici