Un groupe de ran\u00e7ongiciels avec une connexion op\u00e9rationnelle iranienne a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d’attaques de logiciels malveillants de cryptage de fichiers ciblant des organisations en Isra\u00ebl, aux \u00c9tats-Unis, en Europe et en Australie.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Secureworks a attribu\u00e9 les intrusions \u00e0 un acteur mena\u00e7ant qu’elle suit sous le nom de Cobalt Mirage, qui, selon elle, est li\u00e9 \u00e0 une \u00e9quipe de piratage iranienne surnomm\u00e9e Cobalt Illusion (alias APT35, Charming Kitten, Newscaster ou Phosphorus).<\/p>\n
“Des \u00e9l\u00e9ments de l’activit\u00e9 de Cobalt Mirage ont \u00e9t\u00e9 signal\u00e9<\/a> comme Phosphorus et TunnelVision,” Secureworks Counter Threat Unit (CTU) mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n L’auteur de la menace aurait men\u00e9 deux s\u00e9ries d’intrusions diff\u00e9rentes, dont l’une concerne des attaques de ran\u00e7ongiciels opportunistes impliquant l’utilisation d’outils l\u00e9gitimes tels que BitLockerComment<\/a> et DiskCryptor pour un gain financier.<\/p>\n La deuxi\u00e8me s\u00e9rie d’attaques est plus cibl\u00e9e, men\u00e9e dans le but principal de s\u00e9curiser l’acc\u00e8s et de recueillir des renseignements, tout en d\u00e9ployant \u00e9galement des ran\u00e7ongiciels dans certains cas.<\/p>\n Les voies d’acc\u00e8s initiales sont facilit\u00e9es en analysant les serveurs Internet vuln\u00e9rables aux failles tr\u00e8s m\u00e9diatis\u00e9es des appliances Fortinet et des serveurs Microsoft Exchange pour supprimer les shells Web et les utiliser comme conduit pour se d\u00e9placer lat\u00e9ralement et activer le ransomware.<\/p>\n Cependant, les moyens exacts par lesquels la fonction de chiffrement complet du volume est d\u00e9clench\u00e9e restent inconnus, a d\u00e9clar\u00e9 Secureworks, d\u00e9taillant une attaque de janvier 2022 contre une organisation philanthropique am\u00e9ricaine anonyme.<\/p>\n Une autre intrusion visant un r\u00e9seau de gouvernement local am\u00e9ricain \u00e0 la mi-mars 2022 aurait exploit\u00e9 les failles Log4Shell dans l’infrastructure VMware Horizon de la cible pour effectuer des op\u00e9rations de reconnaissance et d’analyse du r\u00e9seau.<\/p>\n “Les incidents de janvier et de mars caract\u00e9risent les diff\u00e9rents styles d’attaques men\u00e9es par Cobalt Mirage”, ont conclu les chercheurs.<\/p>\n “Alors que les acteurs de la menace semblent avoir eu un niveau raisonnable de succ\u00e8s pour obtenir un acc\u00e8s initial \u00e0 un large \u00e9ventail de cibles, leur capacit\u00e9 \u00e0 capitaliser sur cet acc\u00e8s pour un gain financier ou la collecte de renseignements semble limit\u00e9e.”<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1652365077_241_Des-pirates-informatiques-iraniens-utilisent-BitLocker-et-DiskCryptor-dans-des.jpg\")
<\/div>\n