Un groupe d’activit\u00e9s de menace iraniennes pr\u00e9sum\u00e9es a \u00e9t\u00e9 li\u00e9 \u00e0 des attaques visant des organisations isra\u00e9liennes de transport, de gouvernement, d’\u00e9nergie et de soins de sant\u00e9 dans le cadre d’une campagne ax\u00e9e sur l’espionnage qui a d\u00e9but\u00e9 fin 2020.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant suit le groupe sous son surnom non cat\u00e9goris\u00e9 UNC3890<\/strong>qui est cens\u00e9 mener des op\u00e9rations conformes aux int\u00e9r\u00eats iraniens.<\/p>\n “Les donn\u00e9es collect\u00e9es peuvent \u00eatre exploit\u00e9es pour soutenir diverses activit\u00e9s, du piratage et des fuites, \u00e0 la r\u00e9alisation d’attaques de guerre cin\u00e9tique comme celles qui ont tourment\u00e9 l’industrie du transport maritime ces derni\u00e8res ann\u00e9es”, a d\u00e9clar\u00e9 l’\u00e9quipe de recherche isra\u00e9lienne de la soci\u00e9t\u00e9. c’est not\u00e9<\/a>.<\/p>\n Les intrusions mont\u00e9es par le groupe ont conduit au d\u00e9ploiement de deux logiciels malveillants propri\u00e9taires\u00a0: une porte d\u00e9rob\u00e9e “petite mais efficace” nomm\u00e9e SUGARUSH et un voleur d’informations d’identification de navigateur appel\u00e9 SUGARDUMP qui exfiltre les informations de mot de passe vers une adresse e-mail associ\u00e9e \u00e0 Gmail, ProtonMail, Yahoo et Yandex .<\/p>\n Un r\u00e9seau de serveurs de commande et de contr\u00f4le (C2) h\u00e9berge \u00e9galement de fausses pages de connexion se faisant passer pour des plates-formes l\u00e9gitimes telles qu’Office 365, LinkedIn et Facebook, con\u00e7ues pour communiquer avec les cibles, ainsi qu’un point d’eau cens\u00e9 avoir distingu\u00e9 le secteur du transport maritime.<\/p>\n Le trou d’eau, en novembre 2021, \u00e9tait h\u00e9berg\u00e9 sur une page de connexion d’une compagnie maritime isra\u00e9lienne l\u00e9gitime, a soulign\u00e9 Mandiant, ajoutant que le logiciel malveillant transmettait des donn\u00e9es pr\u00e9liminaires sur l’utilisateur connect\u00e9 \u00e0 un domaine contr\u00f4l\u00e9 par l’attaquant.<\/p>\n Bien que la m\u00e9thodologie exacte d’acc\u00e8s initial reste inconnue, elle est soup\u00e7onn\u00e9e d’impliquer un m\u00e9lange de points d’eau, de collecte d’informations d’identification en se faisant passer pour des services l\u00e9gitimes et d’offres d’emploi frauduleuses pour un poste de d\u00e9veloppeur de logiciels dans une soci\u00e9t\u00e9 d’analyse de donn\u00e9es LexisNexis.<\/p>\n “L’une des tentatives les plus r\u00e9centes de l’UNC3890 pour cibler les victimes comprend l’utilisation d’une publicit\u00e9 vid\u00e9o pour des poup\u00e9es robotiques bas\u00e9es sur l’IA, utilis\u00e9e comme leurre pour livrer SUGARDUMP”, ont not\u00e9 les chercheurs.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-decouvre-un-outil-utilise-par-les-pirates-iraniens-pour.png\")
<\/a><\/div>\n![\"Organisations](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661303486_238_Des-pirates-informatiques-iraniens-presumes-ont-cible-plusieurs-organisations-israeliennes.jpg\" "\\"Organisations")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n