{"id":8029,"date":"2022-02-28T05:05:37","date_gmt":"2022-02-28T07:05:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage-qui-abuse-de-lapi-telegram-messenger\/"},"modified":"2022-02-28T05:05:48","modified_gmt":"2022-02-28T07:05:48","slug":"des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage-qui-abuse-de-lapi-telegram-messenger","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage-qui-abuse-de-lapi-telegram-messenger\/","title":{"rendered":"Des pirates informatiques iraniens utilisent un nouveau logiciel malveillant d’espionnage qui abuse de l’API Telegram Messenger"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un acteur de la menace du lien g\u00e9opolitique iranien a \u00e9t\u00e9 d\u00e9couvert en train de d\u00e9ployer deux nouveaux logiciels malveillants cibl\u00e9s dot\u00e9s de fonctionnalit\u00e9s de porte d\u00e9rob\u00e9e “simples” dans le cadre d’une intrusion contre une entit\u00e9 gouvernementale anonyme du Moyen-Orient en novembre 2021.<\/p>\n

La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant a attribu\u00e9 l’attaque \u00e0 un cluster non cat\u00e9goris\u00e9 qu’elle suit sous le surnom UNC3313<\/strong>qu’il \u00e9value avec une “confiance mod\u00e9r\u00e9e” en tant qu’associ\u00e9 au groupe parrain\u00e9 par l’\u00c9tat MuddyWater.<\/p>\n

“UNC3313 effectue une surveillance et collecte des informations strat\u00e9giques pour soutenir les int\u00e9r\u00eats et la prise de d\u00e9cision iraniens”, ont d\u00e9clar\u00e9 les chercheurs Ryan Tomcik, Emiel Haeghebaert et Tufail Ahmed. mentionn\u00e9<\/a>. “Les sch\u00e9mas de ciblage et les leurres associ\u00e9s d\u00e9montrent une forte concentration sur les cibles ayant un lien g\u00e9opolitique.”<\/p>\n

\"Sauvegardes<\/a><\/div>\n

\u00c0 la mi-janvier 2022, les agences de renseignement am\u00e9ricaines ont caract\u00e9ris\u00e9 MuddyWater (alias Static Kitten, Seedworm, TEMP.Zagros ou Mercury) comme un \u00e9l\u00e9ment subordonn\u00e9 du minist\u00e8re iranien du renseignement et de la s\u00e9curit\u00e9 (MOIS) qui est actif depuis au moins 2018 et est connu pour utiliser une large gamme d’outils et de techniques dans ses op\u00e9rations.<\/p>\n

Les attaques auraient \u00e9t\u00e9 orchestr\u00e9es via des messages de harponnage pour obtenir un acc\u00e8s initial, suivis de l’utilisation d’outils de s\u00e9curit\u00e9 offensifs et d’un logiciel d’acc\u00e8s \u00e0 distance accessibles au public pour les d\u00e9placements lat\u00e9raux et le maintien de l’acc\u00e8s \u00e0 l’environnement.<\/p>\n

Les e-mails de phishing ont \u00e9t\u00e9 con\u00e7us avec un leurre de promotion d’emploi et ont tromp\u00e9 plusieurs victimes pour qu’elles cliquent sur une URL pour t\u00e9l\u00e9charger un fichier d’archive RAR h\u00e9berg\u00e9 sur OneHub, ce qui a ouvert la voie \u00e0 l’installation de ScreenConnect, un logiciel d’acc\u00e8s \u00e0 distance l\u00e9gitime pour prendre pied.<\/p>\n

\"Emp\u00eacher<\/a><\/div>\n

“UNC3313 a rapidement \u00e9tabli un acc\u00e8s \u00e0 distance en utilisant ScreenConnect pour infiltrer les syst\u00e8mes dans l’heure suivant la compromission initiale”, ont not\u00e9 les chercheurs, ajoutant que l’incident de s\u00e9curit\u00e9 avait \u00e9t\u00e9 rapidement ma\u00eetris\u00e9 et corrig\u00e9.<\/p>\n

Les phases suivantes de l’attaque impliquaient l’escalade des privil\u00e8ges, la r\u00e9alisation d’une reconnaissance interne sur le r\u00e9seau cibl\u00e9 et l’ex\u00e9cution de commandes PowerShell obscurcies pour t\u00e9l\u00e9charger des outils et des charges utiles suppl\u00e9mentaires sur des syst\u00e8mes distants.<\/p>\n

Une porte d\u00e9rob\u00e9e pr\u00e9c\u00e9demment non document\u00e9e appel\u00e9e STARWHALE a \u00e9galement \u00e9t\u00e9 observ\u00e9e, un fichier de script Windows (.WSF) qui ex\u00e9cute les commandes re\u00e7ues d’un serveur de commande et de contr\u00f4le (C2) cod\u00e9 en dur via HTTP.<\/p>\n

Un autre implant livr\u00e9 au cours de l’attaque est GRAMDOOR, ainsi nomm\u00e9 en raison de son utilisation de l’API Telegram pour ses communications r\u00e9seau avec le serveur contr\u00f4l\u00e9 par l’attaquant dans le but d’\u00e9chapper \u00e0 la d\u00e9tection, soulignant une fois de plus l’utilisation d’outils de communication pour faciliter l’exfiltration. de donn\u00e9es.<\/p>\n

Les conclusions co\u00efncident \u00e9galement avec un nouvel avis conjoint des agences de cybers\u00e9curit\u00e9 du Royaume-Uni et des \u00c9tats-Unis, accusant le groupe MuddyWater d’attaques d’espionnage ciblant les secteurs de la d\u00e9fense, des administrations locales, du p\u00e9trole et du gaz naturel et des t\u00e9l\u00e9communications \u00e0 travers le monde.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un acteur de la menace du lien g\u00e9opolitique iranien a \u00e9t\u00e9 d\u00e9couvert en train de d\u00e9ployer deux nouveaux logiciels malveillants cibl\u00e9s dot\u00e9s de fonctionnalit\u00e9s de porte d\u00e9rob\u00e9e “simples” dans le cadre d’une intrusion contre une entit\u00e9 gouvernementale anonyme du Moyen-Orient en novembre 2021. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant a attribu\u00e9 l’attaque \u00e0 un cluster non […]<\/p>\n","protected":false},"author":1,"featured_media":8030,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10785,4168,4158,4165,4161,133,10729,8154,10783,4157,4159,4171,4170,10786,6816,4167,7733,10788,4160,680,4163,4162,4394,364,4172,4169,10787,10784,4166,4164],"class_list":["post-8029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abuse","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-despionnage","tag-informatiques","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapi","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-messenger","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-qui","tag-securite-informatique","tag-securite-internet","tag-telegram","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/8029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=8029"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/8029\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/8030"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=8029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=8029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=8029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}