Les agences de cybersécurité et de renseignement d’Australie, du Canada et des États-Unis ont mis en garde contre une campagne d’un an entreprise par des cyberacteurs iraniens pour infiltrer les organisations d’infrastructures critiques via des attaques par force brute.
« Depuis octobre 2023, des acteurs iraniens ont eu recours à la force brute et à la pulvérisation de mots de passe pour compromettre les comptes d’utilisateurs et obtenir l’accès à des organisations des secteurs de la santé et de la santé publique (HPH), du gouvernement, des technologies de l’information, de l’ingénierie et de l’énergie », indiquent les agences. dit dans un avis conjoint.
Les attaques ont ciblé les secteurs de la santé, du gouvernement, des technologies de l’information, de l’ingénierie et de l’énergie, selon la police fédérale australienne (AFP), l’Australian Cyber Security Center (ACSC) de l’Australian Signals Direction, le Centre de la sécurité des communications Canada (CSE), le ministère fédéral des Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et la National Security Agency (NSA).
Une autre tactique notable en dehors de la force brute et de la pulvérisation de mots de passe concerne l’utilisation du bombardement rapide d’authentification multifacteur (MFA) pour pénétrer les réseaux d’intérêt.
« Le push bombing est une tactique employée par les acteurs de la menace qui inonde ou bombarde un utilisateur avec des notifications push MFA dans le but de manipuler l’utilisateur pour qu’il approuve la demande, soit involontairement, soit par mécontentement », Ray Carney, directeur de recherche chez Tenable, a déclaré dans un communiqué.
« Cette tactique est également appelée fatigue MFA. La MFA résistante au phishing est le meilleur mécanisme pour empêcher les bombardements poussés, mais si ce n’est pas une option, la correspondance de numéros – exigeant que les utilisateurs saisissent un code spécifique à une heure provenant d’un système d’identité approuvé par l’entreprise – est une sauvegarde acceptable. De nombreux systèmes d’identité ont la correspondance des numéros comme fonctionnalité secondaire.
L’objectif final de ces attaques est probablement d’obtenir des informations d’identification et des informations décrivant le réseau de la victime qui pourront ensuite être vendues pour permettre l’accès à d’autres cybercriminels, faisant écho à une alerte précédemment émise par les États-Unis en août 2024.
L’accès initial est suivi d’étapes visant à effectuer une reconnaissance approfondie des systèmes et du réseau de l’entité à l’aide des outils Living-off-the-land (LotL), à élever les privilèges via CVE-2020-1472 (alias Zerologon) et à un mouvement latéral via RDP. Il a également été constaté que l’acteur menaçant enregistre ses propres appareils auprès de MFA pour maintenir la persistance.
Les attaques, dans certains cas, se caractérisent par l’utilisation de msedge.exe pour établir des connexions sortantes vers l’infrastructure de commande et de contrôle (C2) de Cobalt Strike.
« Les acteurs ont effectué une découverte des réseaux compromis pour obtenir des informations d’identification supplémentaires et identifier d’autres informations qui pourraient être utilisées pour obtenir des points d’accès supplémentaires », ont indiqué les agences, ajoutant qu’elles « vendaient ces informations sur des forums cybercriminels à des acteurs susceptibles de les utiliser pour mener des activités malveillantes supplémentaires.
L’alerte intervient quelques semaines après que les agences gouvernementales des pays Five Eyes ont publié des directives sur les techniques courantes utilisées par les acteurs malveillants pour compromettre Active Directory.
« Active Directory est la solution d’authentification et d’autorisation la plus largement utilisée dans les réseaux informatiques d’entreprise à l’échelle mondiale », affirment les agences. dit. « Les acteurs malveillants ciblent régulièrement Active Directory dans le cadre d’efforts visant à compromettre les réseaux informatiques des entreprises en augmentant les privilèges et en ciblant les objets utilisateur les plus confidentiels. »
Cela fait également suite à un changement dans le paysage des menaces, dans lequel les équipes de hackers des États-nations collaborent de plus en plus avec des cybercriminels, externalisant certaines parties de leurs opérations pour poursuivre leurs motivations géopolitiques et financières, Microsoft. dit.
« Les acteurs de la menace étatique mènent des opérations dans un but lucratif et font appel à des cybercriminels et à des logiciels malveillants pour collecter des renseignements », a déclaré le géant de la technologie. noté dans son Rapport de Défense Numérique à l’horizon 2024.
« Les acteurs de la menace étatique mènent des opérations dans un but lucratif, font appel à des cybercriminels pour collecter des renseignements sur l’armée ukrainienne et utilisent les mêmes voleurs d’informations, cadres de commandement et de contrôle et autres outils privilégiés par la communauté cybercriminelle. »