{"id":1170476,"date":"2024-02-28T14:26:27","date_gmt":"2024-02-28T16:26:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-unc1549-lies-a-liran-ciblent-les-secteurs-de-laerospatiale-et-de-la-defense-au-moyen-orient\/"},"modified":"2024-02-28T14:26:31","modified_gmt":"2024-02-28T16:26:31","slug":"les-pirates-informatiques-unc1549-lies-a-liran-ciblent-les-secteurs-de-laerospatiale-et-de-la-defense-au-moyen-orient","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-unc1549-lies-a-liran-ciblent-les-secteurs-de-laerospatiale-et-de-la-defense-au-moyen-orient\/","title":{"rendered":"Les pirates informatiques UNC1549 li\u00e9s \u00e0 l’Iran ciblent les secteurs de l’a\u00e9rospatiale et de la d\u00e9fense au Moyen-Orient"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 f\u00e9vrier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Cyber-espionnage\/logiciels malveillants<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un acteur mena\u00e7ant li\u00e9 \u00e0 l\u2019Iran connu sous le nom de UNC1549<\/strong> a \u00e9t\u00e9 attribu\u00e9 avec un degr\u00e9 de confiance moyen \u00e0 une nouvelle s\u00e9rie d’attaques visant les industries de l’a\u00e9rospatiale, de l’aviation et de la d\u00e9fense au Moyen-Orient, notamment en Isra\u00ebl et aux \u00c9mirats arabes unis.<\/p>\n

D’autres cibles de l’activit\u00e9 de cyberespionnage incluent probablement la Turquie, l’Inde et l’Albanie, a d\u00e9clar\u00e9 Mandiant, propri\u00e9t\u00e9 de Google, dans une nouvelle analyse.<\/p>\n

UNC1549 chevaucherait Smoke Sandstorm (anciennement Bohrium) et Crimson Sandstorm (anciennement Curium), ce dernier \u00e9tant un groupe affili\u00e9 au Corps des Gardiens de la r\u00e9volution islamique (CGRI), \u00e9galement connu sous le nom de Imperial Kitten, TA456, Tortoiseshell et Yellow Liderc. .<\/p>\n

“Cette activit\u00e9 suspect\u00e9e de l’UNC1549 est active depuis au moins juin 2022 et est toujours en cours en f\u00e9vrier 2024”, a indiqu\u00e9 la soci\u00e9t\u00e9. dit<\/a>. “Bien que de nature r\u00e9gionale et concentr\u00e9 principalement sur le Moyen-Orient, le ciblage inclut des entit\u00e9s op\u00e9rant dans le monde entier.”<\/p>\n

\"La<\/a><\/center><\/div>\n

Les attaques impliquent l’utilisation de l’infrastructure cloud Microsoft Azure pour le commandement et le contr\u00f4le (C2) et l’ing\u00e9nierie sociale impliquant des leurres li\u00e9s au travail pour fournir deux portes d\u00e9rob\u00e9es baptis\u00e9es MINIBIKE et MINIBUS.<\/p>\n

Les e-mails de spear phishing sont con\u00e7us pour diffuser des liens vers de faux sites Web contenant Contenu li\u00e9 \u00e0 Isra\u00ebl et au Hamas<\/a> ou de fausses offres d’emploi, entra\u00eenant le d\u00e9ploiement d’une charge utile malveillante. On a \u00e9galement observ\u00e9 de fausses pages de connexion imitant les grandes entreprises pour r\u00e9colter des informations d’identification.<\/p>\n

Les portes d\u00e9rob\u00e9es personnalis\u00e9es, lors de l’\u00e9tablissement de l’acc\u00e8s C2, agissent comme un canal pour la collecte de renseignements et pour un acc\u00e8s ult\u00e9rieur au r\u00e9seau cibl\u00e9. Un autre outil d\u00e9ploy\u00e9 \u00e0 ce stade est un logiciel de tunneling appel\u00e9 LIGHTRAIL qui communique \u00e0 l’aide du cloud Azure.<\/p>\n

Alors que MINIBIKE est bas\u00e9 sur C++ et capable d’exfiltrer et de t\u00e9l\u00e9charger des fichiers, ainsi que d’ex\u00e9cuter des commandes, MINIBUS sert de \u00ab successeur plus robuste \u00bb avec des fonctionnalit\u00e9s de reconnaissance am\u00e9lior\u00e9es.<\/p>\n

“Les renseignements collect\u00e9s sur ces entit\u00e9s sont pertinents pour les int\u00e9r\u00eats strat\u00e9giques iraniens et peuvent \u00eatre exploit\u00e9s \u00e0 des fins d’espionnage ainsi que d’op\u00e9rations cin\u00e9tiques”, a d\u00e9clar\u00e9 Mandiant.<\/p>\n

\u00ab Les m\u00e9thodes d’\u00e9vasion d\u00e9ploy\u00e9es dans cette campagne, \u00e0 savoir les leurres sur mesure sur le th\u00e8me du travail combin\u00e9s \u00e0 l’utilisation de l’infrastructure cloud pour C2, peuvent compliquer la t\u00e2che des d\u00e9fenseurs des r\u00e9seaux pour pr\u00e9venir, d\u00e9tecter et att\u00e9nuer cette activit\u00e9.<\/p>\n

\"La<\/a><\/center><\/div>\n

CrowdStrike, dans son Rapport sur les menaces mondiales<\/a> pour 2024, d\u00e9crit comment \u00ab les faux-tivistes associ\u00e9s aux adversaires du lien avec l’\u00c9tat iranien et les hacktivistes se pr\u00e9sentant comme \u00ab pro-palestiniens \u00bb se sont concentr\u00e9s sur le ciblage des infrastructures critiques, des syst\u00e8mes d’avertissement de projectiles a\u00e9riens isra\u00e9liens et des activit\u00e9s destin\u00e9es \u00e0 des fins d’op\u00e9rations d’information en 2023. \u00bb<\/p>\n

Cela inclut Banished Kitten, qui a d\u00e9clench\u00e9 le logiciel malveillant BiBi wiper, et Vengeful Kitten, un alias de Moses Staff qui a revendiqu\u00e9 une activit\u00e9 d’effacement de donn\u00e9es sur les syst\u00e8mes de contr\u00f4le industriel (ICS) de plus de 20 entreprises en Isra\u00ebl.<\/p>\n

Cela dit, les adversaires li\u00e9s au Hamas ont \u00e9t\u00e9 visiblement absents des activit\u00e9s li\u00e9es au conflit, ce que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a attribu\u00e9 aux probables perturbations du courant \u00e9lectrique et d\u2019Internet dans la r\u00e9gion.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n