{"id":1010925,"date":"2023-11-10T15:47:47","date_gmt":"2023-11-10T17:47:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/limperial-kitten-cyber-group-lie-a-liran-cible-les-secteurs-technologiques-du-moyen-orient\/"},"modified":"2023-11-10T15:47:50","modified_gmt":"2023-11-10T17:47:50","slug":"limperial-kitten-cyber-group-lie-a-liran-cible-les-secteurs-technologiques-du-moyen-orient","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/limperial-kitten-cyber-group-lie-a-liran-cible-les-secteurs-technologiques-du-moyen-orient\/","title":{"rendered":"L&#8217;Imperial Kitten Cyber \u200b\u200bGroup, li\u00e9 \u00e0 l&#8217;Iran, cible les secteurs technologiques du Moyen-Orient"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/LImperial-Kitten-Cyber-\u200b\u200bGroup-lie-a-lIran-cible-les-secteurs.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un groupe ayant des liens avec l\u2019Iran a cibl\u00e9 les secteurs du transport, de la logistique et de la technologie au Moyen-Orient, y compris en Isra\u00ebl, en octobre 2023, dans un contexte de recrudescence de la cyberactivit\u00e9 iranienne depuis le d\u00e9but de la guerre entre Isra\u00ebl et le Hamas.<\/p>\n<p>Les attaques ont \u00e9t\u00e9 attribu\u00e9es par CrowdStrike \u00e0 un acteur mena\u00e7ant qu&#8217;il suit sous le nom de <strong>Chaton Imp\u00e9rial<\/strong>et qui est \u00e9galement connu sous le nom de Crimson Sandstorm (anciennement Curium), TA456, Tortoiseshell et Yellow Liderc.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes de la soci\u00e9t\u00e9 s&#8217;appuient sur des rapports ant\u00e9rieurs de Mandiant, ClearSky et PwC, ce dernier d\u00e9taillant \u00e9galement des cas de compromission strat\u00e9gique du Web (c&#8217;est-\u00e0-dire des attaques de point d&#8217;eau) conduisant au d\u00e9ploiement d&#8217;IMAPLoader sur des syst\u00e8mes infect\u00e9s.<\/p>\n<p>&#8220;L&#8217;adversaire, actif depuis au moins 2017, r\u00e9pond probablement aux besoins iraniens en mati\u00e8re de renseignement strat\u00e9gique associ\u00e9s aux op\u00e9rations du CGRI&#8221;, a d\u00e9clar\u00e9 CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/imperial-kitten-deploys-novel-malware-families\/\" target=\"_blank\">dit<\/a> dans un rapport technique.  &#8220;Son activit\u00e9 se caract\u00e9rise par son utilisation de l&#8217;ing\u00e9nierie sociale, en particulier du contenu sur le th\u00e8me du recrutement, pour fournir des implants personnalis\u00e9s bas\u00e9s sur .NET.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les cha\u00eenes d&#8217;attaque exploitent les sites Web compromis, principalement ceux li\u00e9s \u00e0 Isra\u00ebl, pour profiler les visiteurs \u00e0 l&#8217;aide de JavaScript sur mesure et exfiltrer les informations vers des domaines contr\u00f4l\u00e9s par les attaquants.<\/p>\n<p>Outre les attaques de points d&#8217;eau, il existe des preuves sugg\u00e9rant qu&#8217;Imperial Kitten a recours \u00e0 l&#8217;exploitation d&#8217;exploits d&#8217;un jour, aux informations d&#8217;identification vol\u00e9es, au phishing et m\u00eame au ciblage des fournisseurs de services informatiques en amont pour un acc\u00e8s initial.<\/p>\n<p>Les campagnes de phishing impliquent l&#8217;utilisation de documents Microsoft Excel contenant des macros pour activer la cha\u00eene d&#8217;infection et supprimer un shell invers\u00e9 bas\u00e9 sur Python qui se connecte \u00e0 une adresse IP cod\u00e9e en dur pour recevoir d&#8217;autres commandes.<\/p>\n<p>Parmi certaines des activit\u00e9s post-exploitation notables figurent la r\u00e9alisation d&#8217;un mouvement lat\u00e9ral gr\u00e2ce \u00e0 l&#8217;utilisation de PAExec, la variante open source de PsExec, et de NetScan, suivie de la livraison des implants IMAPLoader et StandardKeyboard.<\/p>\n<p>Un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) est \u00e9galement d\u00e9ploy\u00e9 qui utilise Discord pour la commande et le contr\u00f4le, tandis que IMAPLoader et StandardKeyboard utilisent des messages \u00e9lectroniques (c&#8217;est-\u00e0-dire des pi\u00e8ces jointes et le corps de l&#8217;e-mail) pour recevoir des t\u00e2ches et envoyer les r\u00e9sultats de l&#8217;ex\u00e9cution.<\/p>\n<p>&#8220;L&#8217;objectif principal de StandardKeyboard est d&#8217;ex\u00e9cuter les commandes cod\u00e9es en Base64 re\u00e7ues dans le corps de l&#8217;e-mail&#8221;, a soulign\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.  &#8220;Contrairement \u00e0 IMAPLoader, ce malware persiste sur la machine infect\u00e9e en tant que service Windows nomm\u00e9 Keyboard Service.&#8221;<\/p>\n<p>Cette \u00e9volution intervient alors que Microsoft a soulign\u00e9 que les cyberactivit\u00e9s malveillantes attribu\u00e9es \u00e0 des groupes iraniens apr\u00e8s le d\u00e9but de la guerre le 7 octobre 2023 \u00e9taient plus r\u00e9actives et opportunistes.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les op\u00e9rateurs iraniens [are] continuant \u00e0 employer leurs tactiques \u00e9prouv\u00e9es, notamment en exag\u00e9rant le succ\u00e8s de leurs attaques sur les r\u00e9seaux informatiques et en amplifiant ces affirmations et activit\u00e9s via un d\u00e9ploiement bien int\u00e9gr\u00e9 d&#8217;op\u00e9rations d&#8217;information, &#8221; Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/11\/09\/microsoft-shares-threat-intelligence-at-cyberwarcon-2023\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Il s&#8217;agit essentiellement de cr\u00e9er une propagande en ligne cherchant \u00e0 gonfler la notori\u00e9t\u00e9 et l&#8217;impact des attaques opportunistes, dans le but d&#8217;en accro\u00eetre les effets.&#8221;<\/p>\n<p>La divulgation fait \u00e9galement suite \u00e0 des r\u00e9v\u00e9lations selon lesquelles un acteur mena\u00e7ant affili\u00e9 au Hamas nomm\u00e9 Arid Viper aurait cibl\u00e9 des arabophones avec un logiciel espion Android connu sous le nom de SpyC23 via des applications arm\u00e9es se faisant passer pour Skipped et Telegram, selon Cisco Talos et <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices\/\" target=\"_blank\">SentinelleOne<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/iran-linked-imperial-kitten-cyber-group.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 novembre 2023\ue804R\u00e9dactionCyberattaque \/ Cybermenace Un groupe ayant des liens avec l\u2019Iran a cibl\u00e9 les secteurs du transport, de la logistique et de la technologie au Moyen-Orient, y compris en Isra\u00ebl, en octobre 2023, dans un contexte de recrudescence de la cyberactivit\u00e9 iranienne depuis le d\u00e9but de la guerre entre Isra\u00ebl et le Hamas. Les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1010926,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,7087,4168,18432,4165,4161,200267,4555,139158,4159,4171,65,7754,214080,16227,200271,200268,38053,200269,200270,33952,128318,4172,4169,15606,4166,4164],"class_list":["post-1010925","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cible","tag-comment-pirater","tag-cyber","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-group","tag-kitten","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-lie","tag-limperial","tag-liran","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-moyenorient","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-secteurs","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-technologiques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1010925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1010925"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1010925\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1010926"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1010925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1010925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1010925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}