Les organisations du secteur de la base industrielle de défense (DIB) sont dans la ligne de mire d’un acteur menaçant iranien dans le cadre d’une campagne conçue pour créer une porte dérobée inédite appelée FalseFont.
Les résultats proviennent de Microsoft, qui suit l’activité sous son surnom météorologique. Tempête de sable pêche (anciennement Holmium), également connu sous les noms d’APT33, Elfin et Refined Kitten.
« FalseFont est une porte dérobée personnalisée dotée d’un large éventail de fonctionnalités qui permettent aux opérateurs d’accéder à distance à un système infecté, de lancer des fichiers supplémentaires et d’envoyer des informations à son système. [command-and-control] serveurs », l’équipe Microsoft Threat Intelligence dit sur X (anciennement Twitter).
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
La première utilisation enregistrée de l’implant a eu lieu début novembre 2023.
Le géant de la technologie a en outre déclaré que le dernier développement s’aligne sur les activités précédentes de Peach Sandstorm et démontre une évolution continue du métier de l’acteur menaçant.
Dans un rapport publié en septembre 2023, Microsoft a associé le groupe à des attaques par pulvérisation de mots de passe menées contre des milliers d’organisations dans le monde entre février et juillet 2023. Les intrusions ont principalement ciblé les secteurs des satellites, de la défense et de la pharmacie.
L’objectif final, selon la société, est de faciliter la collecte de renseignements pour soutenir les intérêts de l’État iranien. On pense que Peach Sandstorm est actif depuis au moins 2013.
Cette divulgation intervient alors que la Direction nationale israélienne de la cybersécurité (INCD) a accusé l’Iran et le Hezbollah d’avoir tenté sans succès de cibler l’hôpital Ziv par le biais d’équipes de piratage nommées Agrius et Lebanon Cedar.
L’agence également révélé les détails d’une campagne de phishing dans laquelle un faux avis concernant une faille de sécurité dans les produits F5 BIG-IP est utilisé comme leurre pour diffuser des logiciels malveillants d’effacement sur les systèmes Windows et Linux.
L’attrait de l’attaque ciblée est une vulnérabilité critique de contournement d’authentification (CVE-2023-46747, score CVSS : 9,8) qui a été révélée fin octobre 2023. L’ampleur de la campagne est actuellement inconnue.