Un acteur mena\u00e7ant affili\u00e9 au minist\u00e8re iranien du Renseignement et de la S\u00e9curit\u00e9 (Vevak) a \u00e9t\u00e9 observ\u00e9 en train de mener une campagne sophistiqu\u00e9e de cyberespionnage ciblant les secteurs financier, gouvernemental, militaire et des t\u00e9l\u00e9communications au Moyen-Orient depuis au moins un an.<\/p>\n
La soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Check Point, qui a d\u00e9couvert la campagne aux c\u00f4t\u00e9s de Sygnia, traque l’acteur sous le nom Manticore balafr\u00e9e<\/strong>qui chevaucherait \u00e9troitement un cluster \u00e9mergent baptis\u00e9 Storm-0861, l’un des quatre groupes iraniens li\u00e9s aux attaques destructrices contre le gouvernement albanais l’ann\u00e9e derni\u00e8re.<\/p>\n Les victimes de l’op\u00e9ration proviennent de divers pays tels que l’Arabie saoudite, les \u00c9mirats arabes unis, la Jordanie, le Kowe\u00eft, Oman, l’Irak et Isra\u00ebl.<\/p>\n Scarred Manticore pr\u00e9sente \u00e9galement un certain degr\u00e9 de chevauchement avec OilRig, un autre \u00e9quipage d\u2019\u00c9tat-nation iranien qui a r\u00e9cemment \u00e9t\u00e9 attribu\u00e9 \u00e0 une attaque contre un gouvernement anonyme du Moyen-Orient entre f\u00e9vrier et septembre 2023 dans le cadre d\u2019une campagne de huit mois.<\/p>\n Un autre ensemble de chevauchements tactiques a \u00e9t\u00e9 d\u00e9couvert entre l’adversaire et un ensemble d’intrusions nomm\u00e9 ShroudedSnooper par Cisco Talos. Les cha\u00eenes d’attaques orchestr\u00e9es par l’acteur malveillant ont cibl\u00e9 les fournisseurs de t\u00e9l\u00e9communications au Moyen-Orient \u00e0 l’aide d’une porte d\u00e9rob\u00e9e furtive connue sous le nom de HTTPSnoop.<\/p>\n L’activit\u00e9 repr\u00e9sent\u00e9e par Scarred Manticore se caract\u00e9rise par l’utilisation d’un cadre de malware passif jusqu’alors inconnu, appel\u00e9 LIONTAIL, install\u00e9 sur les serveurs Windows. On pense que l\u2019acteur mena\u00e7ant est actif depuis au moins 2019.<\/p>\n “Scarred Manticore poursuit des cibles de grande valeur depuis des ann\u00e9es, en utilisant diverses portes d\u00e9rob\u00e9es bas\u00e9es sur IIS pour attaquer les serveurs Windows”, ont d\u00e9clar\u00e9 les chercheurs de Check Point. dit<\/a> dans une analyse de mardi. “Ceux-ci incluent une vari\u00e9t\u00e9 de shells Web personnalis\u00e9s, de portes d\u00e9rob\u00e9es DLL personnalis\u00e9es et d’implants bas\u00e9s sur des pilotes.”<\/p>\n Un logiciel malveillant avanc\u00e9, LIONTAIL est une collection de chargeurs de shellcode personnalis\u00e9s et de charges utiles de shellcode r\u00e9sident en m\u00e9moire. Un composant remarquable du framework est un implant l\u00e9ger mais sophistiqu\u00e9 \u00e9crit en C qui permet aux attaquants d’ex\u00e9cuter des commandes \u00e0 distance via des requ\u00eates HTTP.<\/p>\n Les s\u00e9quences d’attaque consistent \u00e0 infiltrer des serveurs Windows publics pour lancer le processus de diffusion de logiciels malveillants et collecter syst\u00e9matiquement des donn\u00e9es sensibles sur les h\u00f4tes infect\u00e9s.<\/p>\n “Au lieu d’utiliser l’API HTTP, le malware utilise les IOCTL pour interagir directement avec le pilote HTTP.sys sous-jacent”, ont expliqu\u00e9 les chercheurs, d\u00e9taillant le m\u00e9canisme de commande et de contr\u00f4le (C2).<\/p>\n \u00ab Cette approche est plus furtive car elle n’implique pas IIS ou l’API HTTP, qui sont g\u00e9n\u00e9ralement \u00e9troitement surveill\u00e9es par les solutions de s\u00e9curit\u00e9, mais n’est pas une t\u00e2che simple \u00e9tant donn\u00e9 que les IOCTL pour HTTP.sys ne sont pas document\u00e9es et n\u00e9cessitent des efforts de recherche suppl\u00e9mentaires de la part des acteurs de la menace. “.<\/p>\n Sont \u00e9galement d\u00e9ploy\u00e9s aux c\u00f4t\u00e9s de LIONTAIL divers shells Web et un outil de transfert Web appel\u00e9 LIONHEAD, un redirecteur Web.<\/p>\n L’activit\u00e9 historique de Scarred Manticore indique une \u00e9volution continue de l’arsenal malveillant du groupe, l’acteur malveillant s’appuyant auparavant sur des shells Web tels que Thon<\/a> et une version sur mesure appel\u00e9e FOXSHELL pour l’acc\u00e8s par porte d\u00e9rob\u00e9e.<\/p>\n Depuis le milieu de l\u2019ann\u00e9e 2020, l\u2019acteur malveillant aurait \u00e9galement utilis\u00e9 une porte d\u00e9rob\u00e9e passive bas\u00e9e sur .NET appel\u00e9e SDD<\/a> qui \u00e9tablit une communication C2 via un \u00e9couteur HTTP sur la machine infect\u00e9e dans le but ultime d’ex\u00e9cuter des commandes arbitraires, de charger et de t\u00e9l\u00e9charger des fichiers et d’ex\u00e9cuter des assemblys .NET suppl\u00e9mentaires.<\/p>\n Les mises \u00e0 jour progressives des tactiques et des outils des acteurs malveillants sont typiques des groupes de menaces persistantes avanc\u00e9es (APT) et d\u00e9montrent leurs ressources et leurs comp\u00e9tences vari\u00e9es. Le meilleur exemple en est l’utilisation par Scarred Manticore d’un pilote de noyau malveillant appel\u00e9 WINTAPIX, d\u00e9couvert par Fortinet plus t\u00f4t en mai.<\/p>\n En un mot, WinTapix.sys agit comme un chargeur pour ex\u00e9cuter l’\u00e9tape suivante de l’attaque, en injectant un shellcode int\u00e9gr\u00e9 dans un processus en mode utilisateur appropri\u00e9 qui, \u00e0 son tour, ex\u00e9cute une charge utile .NET crypt\u00e9e sp\u00e9cialement con\u00e7ue pour cibler Microsoft Internet Information Services ( IIS).<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Un-groupe-iranien-de-cyberespionnage-cible-les-secteurs-financiers-et.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n