{"id":978003,"date":"2023-10-19T18:25:38","date_gmt":"2023-10-19T20:25:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-plate-forme-petroliere-liee-a-liran-cible-les-gouvernements-du-moyen-orient-dans-le-cadre-dune-cyber-campagne-de-8-mois\/"},"modified":"2023-10-19T18:25:42","modified_gmt":"2023-10-19T20:25:42","slug":"une-plate-forme-petroliere-liee-a-liran-cible-les-gouvernements-du-moyen-orient-dans-le-cadre-dune-cyber-campagne-de-8-mois","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-plate-forme-petroliere-liee-a-liran-cible-les-gouvernements-du-moyen-orient-dans-le-cadre-dune-cyber-campagne-de-8-mois\/","title":{"rendered":"Une plate-forme p\u00e9troli\u00e8re li\u00e9e \u00e0 l&#8217;Iran cible les gouvernements du Moyen-Orient dans le cadre d&#8217;une cyber-campagne de 8 mois"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ Cyberespionnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Une-plate-forme-petroliere-liee-a-lIran-cible-les-gouvernements-du.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L\u2019acteur mena\u00e7ant OilRig, li\u00e9 \u00e0 l\u2019Iran, a cibl\u00e9 un gouvernement anonyme du Moyen-Orient entre f\u00e9vrier et septembre 2023 dans le cadre d\u2019une campagne de huit mois.<\/p>\n<p>L&#8217;attaque a conduit au vol de fichiers et de mots de passe et, dans un cas, a abouti au d\u00e9ploiement d&#8217;une porte d\u00e9rob\u00e9e PowerShell appel\u00e9e PowerExchange, l&#8217;\u00e9quipe Symantec Threat Hunter, qui fait partie de Broadcom, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/crambus-middle-east-government\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suit l&#8217;activit\u00e9 sous le nom <strong>Crambus<\/strong>notant que l&#8217;adversaire a utilis\u00e9 l&#8217;implant pour &#8220;surveiller les courriers entrants envoy\u00e9s depuis un serveur Exchange dans <\/p>\n<p>afin d&#8217;ex\u00e9cuter les commandes envoy\u00e9es par les attaquants sous forme d&#8217;e-mails et de transmettre subrepticement les r\u00e9sultats aux attaquants.<\/p>\n<p>Des activit\u00e9s malveillantes auraient \u00e9t\u00e9 d\u00e9tect\u00e9es sur pas moins de 12 ordinateurs, avec des portes d\u00e9rob\u00e9es et des enregistreurs de frappe install\u00e9s sur une douzaine d&#8217;autres machines, indiquant une large compromission de la cible.<\/p>\n<p>L&#8217;utilisation de PowerExchange a \u00e9t\u00e9 soulign\u00e9e pour la premi\u00e8re fois par Fortinet FortiGuard Labs en mai 2023, documentant une cha\u00eene d&#8217;attaque ciblant une entit\u00e9 gouvernementale associ\u00e9e aux \u00c9mirats arabes unis.<\/p>\n<p>L&#8217;implant, qui surveille les e-mails entrants dans les bo\u00eetes aux lettres compromises apr\u00e8s s&#8217;\u00eatre connect\u00e9 \u00e0 un serveur Microsoft Exchange avec des informations d&#8217;identification cod\u00e9es en dur, permet \u00e0 l&#8217;acteur malveillant d&#8217;ex\u00e9cuter des charges utiles arbitraires et de t\u00e9l\u00e9charger des fichiers depuis et vers l&#8217;h\u00f4te infect\u00e9.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/BunnyLoader-une-nouvelle-menace-de-type-Malware-as-a-Service-emerge-dans-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les e-mails re\u00e7us avec &#8216;@@&#8217; dans le sujet contiennent des commandes envoy\u00e9es par les attaquants, ce qui leur permet d&#8217;ex\u00e9cuter des commandes PowerShell arbitraires, d&#8217;\u00e9crire des fichiers et de voler des fichiers&#8221;, a expliqu\u00e9 la soci\u00e9t\u00e9.  Le malware cr\u00e9e une r\u00e8gle Exchange (appel\u00e9e \u00ab defaultexchangerules \u00bb) pour filtrer ces messages et les d\u00e9placer automatiquement vers le dossier \u00c9l\u00e9ments supprim\u00e9s.<\/p>\n<p>Trois logiciels malveillants jusqu&#8217;alors inconnus ont \u00e9galement \u00e9t\u00e9 d\u00e9ploy\u00e9s parall\u00e8lement \u00e0 PowerExchange, d\u00e9crits ci-dessous\u00a0:<\/p>\n<ul>\n<li><strong>Tokel<\/strong>une porte d\u00e9rob\u00e9e pour ex\u00e9cuter des commandes PowerShell arbitraires et t\u00e9l\u00e9charger des fichiers<\/li>\n<li><strong>Dirps<\/strong>un cheval de Troie capable d&#8217;\u00e9num\u00e9rer les fichiers dans un r\u00e9pertoire et d&#8217;ex\u00e9cuter des commandes PowerShell, et<\/li>\n<li><strong>Clipog<\/strong>un voleur d&#8217;informations con\u00e7u pour r\u00e9colter les donn\u00e9es du presse-papiers et les frappes au clavier<\/li>\n<\/ul>\n<p>Bien que le mode exact d&#8217;acc\u00e8s initial n&#8217;ait pas \u00e9t\u00e9 divulgu\u00e9, il est soup\u00e7onn\u00e9 d&#8217;avoir impliqu\u00e9 du phishing par courrier \u00e9lectronique.  Les activit\u00e9s malveillantes sur le r\u00e9seau gouvernemental se sont poursuivies jusqu&#8217;au 9\u00a0septembre\u00a02023.<\/p>\n<p>&#8220;Crambus est un groupe d&#8217;espionnage exp\u00e9riment\u00e9 et de longue date qui poss\u00e8de une vaste expertise dans la conduite de longues campagnes visant des cibles int\u00e9ressant l&#8217;Iran&#8221;, a d\u00e9clar\u00e9 Symantec.  &#8220;Ses activit\u00e9s au cours des deux derni\u00e8res ann\u00e9es d\u00e9montrent qu&#8217;elle repr\u00e9sente une menace permanente pour les organisations au Moyen-Orient et au-del\u00e0.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/iran-linked-oilrig-targets-middle-east.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 octobre 2023\ue804R\u00e9dactionCyberattaque \/ Cyberespionnage L\u2019acteur mena\u00e7ant OilRig, li\u00e9 \u00e0 l\u2019Iran, a cibl\u00e9 un gouvernement anonyme du Moyen-Orient entre f\u00e9vrier et septembre 2023 dans le cadre d\u2019une campagne de huit mois. L&#8217;attaque a conduit au vol de fichiers et de mots de passe et, dans un cas, a abouti au d\u00e9ploiement d&#8217;une porte d\u00e9rob\u00e9e PowerShell [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":978004,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4176,7087,4168,4165,4161,200267,162559,429,1326,12508,4159,4171,65,12748,16227,200271,200268,553,38053,200269,200270,10121,4809,128318,4172,4169,196,4166,4164],"class_list":["post-978003","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cadre","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cybercampagne","tag-dans","tag-dune","tag-gouvernements","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-liee","tag-liran","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-mois","tag-moyenorient","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-petroliere","tag-plateforme","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/978003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=978003"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/978003\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/978004"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=978003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=978003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=978003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}