{"id":362280,"date":"2022-09-13T07:52:30","date_gmt":"2022-09-13T09:52:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-iraniens-ciblent-des-cibles-de-grande-valeur-dans-la-securite-nucleaire-et-la-recherche-genomique\/"},"modified":"2022-09-13T07:52:31","modified_gmt":"2022-09-13T09:52:31","slug":"les-pirates-iraniens-ciblent-des-cibles-de-grande-valeur-dans-la-securite-nucleaire-et-la-recherche-genomique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-iraniens-ciblent-des-cibles-de-grande-valeur-dans-la-securite-nucleaire-et-la-recherche-genomique\/","title":{"rendered":"Les pirates iraniens ciblent des cibles de grande valeur dans la s\u00e9curit\u00e9 nucl\u00e9aire et la recherche g\u00e9nomique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des pirates li\u00e9s au gouvernement iranien ont cibl\u00e9 des personnes sp\u00e9cialis\u00e9es dans les affaires du Moyen-Orient, la s\u00e9curit\u00e9 nucl\u00e9aire et la recherche sur le g\u00e9nome dans le cadre d&#8217;une nouvelle campagne d&#8217;ing\u00e9nierie sociale con\u00e7ue pour rechercher des informations sensibles.<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise a attribu\u00e9 les attaques cibl\u00e9es \u00e0 un acteur mena\u00e7ant nomm\u00e9 TA453, qui chevauche largement les cyberactivit\u00e9s surveill\u00e9es sous les surnoms APT42, Charming Kitten et Phosphorus.<\/p>\n<p>Tout commence par un e-mail de phishing se faisant passer pour des individus l\u00e9gitimes dans des organisations occidentales de recherche sur la politique \u00e9trang\u00e8re, qui est finalement con\u00e7u pour recueillir des renseignements au nom du Corps des gardiens de la r\u00e9volution islamique (CGRI) iranien.<\/p>\n<p>Les personnes usurp\u00e9es incluent des personnes du Pew Research Center, du Foreign Policy Research Institute (FRPI), de Chatham House au Royaume-Uni et de la revue scientifique Nature.  La technique aurait \u00e9t\u00e9 d\u00e9ploy\u00e9e \u00e0 la mi-juin 2022.<\/p>\n<p>Ce qui est diff\u00e9rent des autres attaques de phishing, c&#8217;est l&#8217;utilisation d&#8217;une tactique que Proofpoint appelle l&#8217;emprunt d&#8217;identit\u00e9 multiple (MPI), dans laquelle l&#8217;auteur de la menace emploie non pas un mais plusieurs personnages contr\u00f4l\u00e9s par l&#8217;acteur dans la m\u00eame conversation par e-mail pour renforcer les chances de succ\u00e8s.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;id\u00e9e est de \u00ab tirer parti du principe psychologique de <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Social_proof\" target=\"_blank\">la preuve sociale<\/a>&#8221; et augmenter l&#8217;authenticit\u00e9 de la correspondance de l&#8217;acteur de la menace afin de faire adh\u00e9rer la cible au stratag\u00e8me, une tactique qui d\u00e9montre la capacit\u00e9 continue de l&#8217;adversaire \u00e0 intensifier son jeu.<\/p>\n<p>&#8220;Il s&#8217;agit d&#8217;une technique intrigante car elle n\u00e9cessite plus de ressources \u00e0 utiliser par cible &#8211; br\u00fblant potentiellement plus de personnages &#8211; et une approche coordonn\u00e9e entre les diff\u00e9rentes personnalit\u00e9s utilis\u00e9es par TA453&#8221;, a d\u00e9clar\u00e9 Sherrod DeGrippo, vice-pr\u00e9sident de la recherche et de la d\u00e9tection des menaces chez Proofpoint, <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta453-uses-multi-persona-impersonation-capitalize-fomo\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>Une fois que l&#8217;e-mail initial a suscit\u00e9 une r\u00e9ponse de la part de la cible, le personnage envoie ensuite un message de suivi contenant un lien OneDrive malveillant qui t\u00e9l\u00e9charge un document Microsoft Office, dont l&#8217;un fait pr\u00e9tendument allusion \u00e0 un affrontement entre la Russie et les \u00c9tats-Unis.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"340\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663062750_753_Les-pirates-iraniens-ciblent-des-cibles-de-grande-valeur-dans.jpg\" \/><\/div>\n<p>Ce document utilise par la suite une technique appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1221\/\" target=\"_blank\">injection de mod\u00e8le \u00e0 distance<\/a> pour t\u00e9l\u00e9charger Korg, un mod\u00e8le compos\u00e9 de trois macros capables de rassembler les noms d&#8217;utilisateur, une liste des processus en cours d&#8217;ex\u00e9cution et les adresses IP publiques des victimes.<\/p>\n<p>Outre l&#8217;exfiltration des informations de balisage, aucune autre action post-exploitation n&#8217;a \u00e9t\u00e9 observ\u00e9e.  L&#8217;absence &#8220;anormale&#8221; d&#8217;ex\u00e9cution de code et de comportement de commande et de contr\u00f4le a conduit \u00e0 une \u00e9valuation selon laquelle les utilisateurs compromis pourraient \u00eatre soumis \u00e0 d&#8217;autres attaques bas\u00e9es sur le logiciel install\u00e9.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que l&#8217;acteur mena\u00e7ant entreprend des campagnes d&#8217;usurpation d&#8217;identit\u00e9.  En juillet 2021, Proofpoint a r\u00e9v\u00e9l\u00e9 une op\u00e9ration de phishing baptis\u00e9e SpoofedScholars qui ciblait des personnes ax\u00e9es sur les affaires du Moyen-Orient aux \u00c9tats-Unis et au Royaume-Uni sous le couvert d&#8217;universitaires de la School of Oriental and African Studies (SOAS) de l&#8217;Universit\u00e9 de Londres.<\/p>\n<p>Puis, en juillet 2022, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9couvert des tentatives de la part de TA453 de se faire passer pour des journalistes pour inciter des universitaires et des experts en politique \u00e0 cliquer sur des liens malveillants qui redirigent les cibles vers des domaines de collecte d&#8217;informations d&#8217;identification.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La divulgation intervient au milieu d&#8217;une vague de cyber-activit\u00e9s li\u00e9es \u00e0 l&#8217;Iran.  La semaine derni\u00e8re, Microsoft a d\u00e9voil\u00e9 une s\u00e9rie d&#8217;attaques de ran\u00e7ongiciels mont\u00e9es par un sous-groupe Phosphorus surnomm\u00e9 DEV-0270 \u00e0 l&#8217;aide de binaires vivant hors de la terre tels que BitLocker.<\/p>\n<p>De plus, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant, qui est maintenant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/company\/press-releases\/google-completes-mandiant-acquisition\" target=\"_blank\">fait officiellement partie de Google\u00a0Cloud<\/a>a d\u00e9taill\u00e9 les activit\u00e9s d&#8217;un acteur d&#8217;espionnage iranien nomm\u00e9 APT42 qui a \u00e9t\u00e9 li\u00e9 \u00e0 plus de 30 op\u00e9rations depuis 2015.<\/p>\n<p>Pour couronner le tout, le d\u00e9partement du Tr\u00e9sor a annonc\u00e9 des sanctions contre le minist\u00e8re iranien du Renseignement et de la S\u00e9curit\u00e9 (Vevak) et son ministre du Renseignement, Esmaeil Khatib, en r\u00e9ponse aux &#8220;activit\u00e9s cyber-activ\u00e9es contre les \u00c9tats-Unis et leurs alli\u00e9s&#8221;.<\/p>\n<p>L&#8217;Albanie, qui a rompu ses relations diplomatiques avec l&#8217;Iran apr\u00e8s l&#8217;avoir accus\u00e9 d&#8217;une s\u00e9rie de cyberoffensives depuis juillet, <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/ediramaal\/status\/1568523932029919232\" target=\"_blank\">doigts pointus<\/a> aux &#8220;m\u00eames agresseurs&#8221; au cours du week-end pour avoir men\u00e9 une autre attaque contre un syst\u00e8me gouvernemental utilis\u00e9 pour suivre les passages frontaliers.<\/p>\n<p>&#8220;Les acteurs de la menace align\u00e9s sur l&#8217;\u00c9tat sont parmi les meilleurs pour concevoir des campagnes d&#8217;ing\u00e9nierie sociale bien pens\u00e9es pour atteindre leurs victimes&#8221;, a d\u00e9clar\u00e9 DeGrippo.<\/p>\n<p>&#8220;Les chercheurs impliqu\u00e9s dans la s\u00e9curit\u00e9 internationale, en particulier ceux qui se sp\u00e9cialisent dans les \u00e9tudes sur le Moyen-Orient ou la s\u00e9curit\u00e9 nucl\u00e9aire, devraient maintenir un sens aigu de la vigilance lorsqu&#8217;ils re\u00e7oivent des e-mails non sollicit\u00e9s.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/iranian-hackers-target-high-value.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des pirates li\u00e9s au gouvernement iranien ont cibl\u00e9 des personnes sp\u00e9cialis\u00e9es dans les affaires du Moyen-Orient, la s\u00e9curit\u00e9 nucl\u00e9aire et la recherche sur le g\u00e9nome dans le cadre d&#8217;une nouvelle campagne d&#8217;ing\u00e9nierie sociale con\u00e7ue pour rechercher des informations sensibles. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise a attribu\u00e9 les attaques cibl\u00e9es \u00e0 un acteur mena\u00e7ant nomm\u00e9 TA453, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":362281,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5863,9589,4168,4158,4165,4161,429,133,25898,1740,10783,4157,4159,4171,4170,65,4167,4160,4163,4162,3126,4394,1910,1835,4172,4169,1092,4166,4164],"class_list":["post-362280","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblent","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-genomique","tag-grande","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-nucleaire","tag-pirates","tag-recherche","tag-securite","tag-securite-informatique","tag-securite-internet","tag-valeur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/362280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=362280"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/362280\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/362281"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=362280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=362280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=362280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}