Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un acteur iranien présumé cible les secteurs israéliens du transport maritime, de la santé, du gouvernement et de l’énergie

août 2022 par Mandiant Threat Intelligence

Au cours de l’année écoulée, Mandiant a suivi le groupe UNC3890, un groupe criminel ciblant les secteurs israéliens du transport maritime, de la santé, de l’énergie et du gouvernement par le biais de leurres d’ingénierie sociale. Selon toute vraisemblance, Mandiant pense que cet acteur est lié à l’Iran, notamment en raison de l’accent qu’il met sur le transport maritime et le conflit naval en cours entre l’Iran et Israël. Cet acteur se concentre prioritairement sur la collecte de renseignements : les données collectées peuvent ainsi être exploitées afin de soutenir diverses activités, allant du piratage et de la divulgation à la mise en œuvre d’attaques de cyberguerre comme celles qui ont touché le secteur du transport maritime ces dernières années.

Des activités d’espionnage et de collecte de renseignements

Mandiant estime avec un degré de confiance raisonnable que le groupe UNC3890 mène des activités d’espionnage et de collecte de renseignements pour soutenir de multiples activités et intérêts iraniens. Les schémas de ciblage indiquent un fort intérêt pour les entités et organisations israéliennes de divers secteurs, notamment le gouvernement, le transport maritime, l’énergie et la santé. Mandiant a observé plusieurs connexions techniques limitées avec l’Iran, telles que des chaînes PDB (Program Database) et des artefacts en langue persane.

Cette campagne est active depuis au moins la fin de 2020, et est toujours en cours à la mi-2022. Bien qu’elle soit de nature régionale, les entités ciblées comprennent des entreprises d’envergure mondiale.

UNC3890 utilise au moins deux outils exclusifs : une porte dérobée nommée SUGARUSH, et un outil de vol d’identifiants de navigateur. Nommé SUGARDUMP, celui-ci exfiltre les données volées via les services de messagerie Gmail, Yahoo et Yandex. UNC3890 utilise également plusieurs outils accessibles au public, tels que le framework METASPLOIT et NorthStar C2.

Exploitation d’un réseau interconnecté de serveurs C2

En outre, Mandiant a découvert que UNC3890 exploite un réseau interconnecté de serveurs de commande et de contrôle (C2). Les serveurs C2 hébergent des domaines et de fausses pages de connexion. Celles-ci usurpent un ensemble de services légitimes, à l’image d’Office 365, de réseaux sociaux tels LinkedIn et Facebook, ainsi que de fausses offres d’emploi et de fausses publicités pour des robots à intelligence artificielle.

Mandiant a observé que les serveurs C2 communiquaient avec plusieurs cibles, ainsi qu’avec une attaque par « point d’eau » (watering hole) qui, selon Mandiant, ciblait le secteur du transport maritime israélien, en particulier les entités qui manipulent et expédient des composants sensibles.

Dans son enquête, Mandiant détaille l’activité de l’UNC3890, y compris son malware propriétaire, les TTP qu’ils n’ont jamais vus déployés par l’Iran jusqu’alors et les outils accessibles au public qu’ils ont identifiés.

Mandiant continue et continuera de suivre UNC3890 ainsi que d’autres groupes d’activités potentiellement liées par le même acteur de la menace.




Voir les articles précédents

    

Voir les articles suivants