{"id":359126,"date":"2022-09-11T05:22:35","date_gmt":"2022-09-11T07:22:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lapt42-iranien-a-lance-plus-de-30-attaques-despionnage-contre-des-militants-et-des-dissidents\/"},"modified":"2022-09-11T05:22:36","modified_gmt":"2022-09-11T07:22:36","slug":"lapt42-iranien-a-lance-plus-de-30-attaques-despionnage-contre-des-militants-et-des-dissidents","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lapt42-iranien-a-lance-plus-de-30-attaques-despionnage-contre-des-militants-et-des-dissidents\/","title":{"rendered":"L&#8217;APT42 iranien a lanc\u00e9 plus de 30 attaques d&#8217;espionnage contre des militants et des dissidents"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur de menace persistante avanc\u00e9e (APT) parrain\u00e9 par l&#8217;\u00c9tat nouvellement baptis\u00e9 APT42 (anciennement UNC788) a \u00e9t\u00e9 attribu\u00e9 \u00e0 plus de 30 attaques d&#8217;espionnage confirm\u00e9es contre des individus et des organisations d&#8217;int\u00e9r\u00eat strat\u00e9gique pour le gouvernement iranien au moins depuis 2015.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant a d\u00e9clar\u00e9 que le groupe fonctionne comme la branche de collecte de renseignements du Corps des gardiens de la r\u00e9volution islamique (CGRI) iranien, sans parler des partages de chevauchements partiels avec un autre cluster appel\u00e9 APT35, \u00e9galement connu sous le nom de Charming Kitten, Cobalt Illusion, ITG18, Phosphorus, TA453. , et Garuda jaune.<\/p>\n<p>APT42 a montr\u00e9 une propension \u00e0 frapper divers secteurs tels que les organisations \u00e0 but non lucratif, l&#8217;\u00e9ducation, les gouvernements, les soins de sant\u00e9, le droit, la fabrication, les m\u00e9dias et les produits pharmaceutiques dans au moins 14 pays, notamment en Australie, en Europe, au Moyen-Orient et aux \u00c9tats-Unis.<\/p>\n<p>Les intrusions visant le secteur pharmaceutique se distinguent \u00e9galement par le fait qu&#8217;elles ont commenc\u00e9 au d\u00e9but de la pand\u00e9mie de COVID-19 en mars 2020, indiquant la capacit\u00e9 de l&#8217;acteur mena\u00e7ant \u00e0 modifier rapidement ses campagnes afin de r\u00e9pondre \u00e0 ses priorit\u00e9s op\u00e9rationnelles.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;APT42 utilise des techniques de harponnage et d&#8217;ing\u00e9nierie sociale tr\u00e8s cibl\u00e9es con\u00e7ues pour \u00e9tablir une relation de confiance avec leurs victimes afin d&#8217;acc\u00e9der \u00e0 leurs comptes de messagerie personnels ou d&#8217;entreprise ou d&#8217;installer des logiciels malveillants Android sur leurs appareils mobiles&#8221;, a d\u00e9clar\u00e9 Mandiant. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/apt42-charms-cons-compromises\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>L&#8217;objectif est d&#8217;exploiter les relations de confiance frauduleuses pour voler les informations d&#8217;identification, permettant \u00e0 l&#8217;auteur de la menace de tirer parti de l&#8217;acc\u00e8s pour effectuer des compromis de suivi des r\u00e9seaux d&#8217;entreprise afin de collecter des donn\u00e9es sensibles et d&#8217;utiliser les comptes pirat\u00e9s pour hame\u00e7onner d&#8217;autres victimes.<\/p>\n<p>Les cha\u00eenes d&#8217;attaques impliquent un m\u00e9lange de messages de harponnage hautement cibl\u00e9s destin\u00e9s aux individus et aux organisations d&#8217;int\u00e9r\u00eat strat\u00e9gique pour l&#8217;Iran.  Ils sont \u00e9galement con\u00e7us dans le but d&#8217;instaurer la confiance avec d&#8217;anciens responsables gouvernementaux, des journalistes, des d\u00e9cideurs et la diaspora iranienne \u00e0 l&#8217;\u00e9tranger dans l&#8217;espoir de diffuser des logiciels malveillants.<\/p>\n<p>En plus d&#8217;utiliser des comptes de messagerie pirat\u00e9s associ\u00e9s \u00e0 des groupes de r\u00e9flexion pour cibler des chercheurs et d&#8217;autres organisations universitaires, APT42 est souvent connu pour se faire passer pour des journalistes et d&#8217;autres professionnels pour dialoguer avec les victimes pendant plusieurs jours, voire des semaines avant d&#8217;envoyer un lien malveillant.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Attaques d'espionnage contre le gouvernement iranien\" border=\"0\" data-original-height=\"472\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662880955_499_LAPT42-iranien-a-lance-plus-de-30-attaques-despionnage-contre.jpg\" title=\"Attaques d'espionnage contre le gouvernement iranien\" \/><\/div>\n<p>Lors d&#8217;une attaque observ\u00e9e en mai 2017, le groupe a cibl\u00e9 des membres d&#8217;un groupe d&#8217;opposition iranien op\u00e9rant depuis l&#8217;Europe et l&#8217;Am\u00e9rique du Nord avec des e-mails contenant des liens vers des pages Google Books voyous, qui redirigeaient les victimes vers des pages de connexion con\u00e7ues pour siphonner les informations d&#8217;identification et deux- codes d&#8217;authentification des facteurs.<\/p>\n<p>Les op\u00e9rations de surveillance impliquent la distribution de logiciels malveillants Android tels que VINETHORN et PINEFLOWER via des messages texte capables d&#8217;enregistrer des appels audio et t\u00e9l\u00e9phoniques, d&#8217;extraire du contenu multim\u00e9dia et des SMS et de suivre les g\u00e9olocalisations.  Une charge utile VINETHORN rep\u00e9r\u00e9e entre avril et octobre 2021 s&#8217;est fait passer pour une application VPN appel\u00e9e SaferVPN.<\/p>\n<p>&#8220;L&#8217;utilisation de logiciels malveillants Android pour cibler des personnes pr\u00e9sentant un int\u00e9r\u00eat pour le gouvernement iranien fournit \u00e0 APT42 une m\u00e9thode productive pour obtenir des informations sensibles sur des cibles, notamment des mouvements, des contacts et des informations personnelles&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<p>On dit \u00e9galement que le groupe utilise de temps en temps une s\u00e9rie de logiciels malveillants Windows l\u00e9gers \u2013 une porte d\u00e9rob\u00e9e PowerShell nomm\u00e9e TAMECAT, un compte-gouttes de macros bas\u00e9 sur VBA appel\u00e9 TABBYCAT et une macro de shell invers\u00e9e connue sous le nom de VBREVSHELL \u2013 pour augmenter leur collecte d&#8217;informations d&#8217;identification et leur espionnage. Activit\u00e9s.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les liens d&#8217;APT42 vers APT35 proviennent de liens vers un cluster de menaces non cat\u00e9goris\u00e9 suivi comme UNC2448, que Microsoft (DEV-0270) et Secureworks (Cobalt Mirage) ont divulgu\u00e9 comme un sous-groupe Phosphorus menant des attaques de ran\u00e7ongiciels \u00e0 des fins financi\u00e8res \u00e0 l&#8217;aide de BitLocker.<\/p>\n<p>L&#8217;analyse de Mandiant donne encore plus de cr\u00e9dit aux conclusions de Microsoft selon lesquelles DEV-0270\/UNC2448 est exploit\u00e9 par une soci\u00e9t\u00e9 \u00e9cran qui utilise deux alias publics, \u00e0 savoir Secnerd et Lifeweb, tous deux connect\u00e9s \u00e0 Najee Technology Hooshmand.<\/p>\n<p>Cela dit, on soup\u00e7onne que les deux collectifs antagonistes, malgr\u00e9 leur affiliation au CGRI, proviennent de missions disparates bas\u00e9es sur des diff\u00e9rences dans les sch\u00e9mas de ciblage et les tactiques employ\u00e9es.<\/p>\n<p>Un point cl\u00e9 de distinction est que si APT35 est orient\u00e9 vers des op\u00e9rations \u00e0 long terme et \u00e0 forte intensit\u00e9 de ressources ciblant diff\u00e9rents secteurs verticaux de l&#8217;industrie aux \u00c9tats-Unis et au Moyen-Orient, les activit\u00e9s d&#8217;APT42 se concentrent sur des individus et des entit\u00e9s pour &#8220;la politique int\u00e9rieure, la politique \u00e9trang\u00e8re et la stabilit\u00e9 du r\u00e9gime&#8221;. fins.&#8221;<\/p>\n<p>&#8220;Le groupe a montr\u00e9 sa capacit\u00e9 \u00e0 modifier rapidement son orientation op\u00e9rationnelle alors que les priorit\u00e9s de l&#8217;Iran changent au fil du temps avec l&#8217;\u00e9volution des conditions nationales et g\u00e9opolitiques&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/iranian-apt42-launched-over-30.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur de menace persistante avanc\u00e9e (APT) parrain\u00e9 par l&#8217;\u00c9tat nouvellement baptis\u00e9 APT42 (anciennement UNC788) a \u00e9t\u00e9 attribu\u00e9 \u00e0 plus de 30 attaques d&#8217;espionnage confirm\u00e9es contre des individus et des organisations d&#8217;int\u00e9r\u00eat strat\u00e9gique pour le gouvernement iranien au moins depuis 2015. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant a d\u00e9clar\u00e9 que le groupe fonctionne comme la branche [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":359127,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,841,4158,4165,4161,133,10729,11205,6577,4157,4159,4171,4170,1647,107922,4167,6236,4160,4163,4162,4172,4169,4166,4164],"class_list":["post-359126","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-despionnage","tag-dissidents","tag-iranien","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lance","tag-lapt42","tag-logiciel-malveillant-de-ransomware","tag-militants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/359126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=359126"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/359126\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/359127"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=359126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=359126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=359126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}