Connect with us

Technologie

Alerte sur une série d’attaques BitLocker liées à l’Iran

Published

on


Les cyber-agences australiennes, américaines et britanniques ont mis en garde contre une campagne de « cyberactivité malveillante en cours » par un groupe iranien de menaces persistantes avancées (APT) exploitant des vulnérabilités bien connues des produits Fortinet et Microsoft pour mener des attaques de ransomware.

Le groupe parrainé par le gouvernement semble attaquer de manière quelque peu aveugle et semble se concentrer fortement sur l’exploitation d’un ensemble de bogues connus, plutôt que de cibler des secteurs spécifiques, bien qu’il ait été vu ciblant des victimes dans des domaines critiques tels que les transports et les soins de santé.

Les activités du groupe semblent remonter à mars 2021, lorsque le FBI américain et la Cybersecurity and Infrastructure Security Agency (CISA) ont observé le groupe à la recherche d’appareils vulnérables à CVE-2018-13379 et énumérant les périphériques pour deux autres vulnérabilités, CVE-2020-12812 et CVE-2019-5591, qui se trouvent toutes trois dans le système d’exploitation Fortinet FortiOS.

Notez que les trois bogues de Fortinet ont fait l’objet d’un avertissement similaire à l’époque, et l’exploitation de CVE-2018-37779, une vulnérabilité de traversée de chemin, a également été liée au ransomware Cring.

Deux mois plus tard, le groupe a été vu en exploitant un appareil Fortigate vulnérable pour cibler une autorité gouvernementale locale aux États-Unis et, en juin, a effectué une attaque similaire pour accéder aux réseaux de contrôle environnemental appartenant à un hôpital pour enfants basé aux États-Unis.

Selon l’avis, en octobre, le groupe a porté son attention sur une vulnérabilité Microsoft Exchange ProxyShell, CVE-2021-34473, qui a fait l’objet d’un processus de divulgation bâclé en août.

Après avoir accédé aux réseaux de ses victimes, ses activités de suivi incluent l’exfiltration de données, le cryptage et l’extorsion à l’aide de BitLocker, une fonctionnalité légitime de chiffrement de volume complet qui peut être transformée à des fins malveillantes telles que les ransomwares.

Les défenseurs doivent être attentifs à l’utilisation de divers outils malveillants et légitimes par le groupe, notamment Mimikatz pour le vol d’informations d’identification, WinPEAS pour l’escalade des privilèges, WinRAR pour l’archivage des données et FileZilla pour le transfert de fichiers.

Le groupe a également été vu en train d’apporter des modifications au Planificateur de tâches qui peuvent s’afficher sous forme de tâches ou d’actions planifiées non reconnues, et d’établir de nouveaux comptes d’utilisateurs sur les contrôleurs de domaine, les serveurs, les postes de travail et les annuaires actifs, dont beaucoup peuvent sembler au spectateur occasionnel ressembler aux comptes légitimes de la victime.

L’avis complet, y compris les indicateurs spécifiques de compromission (IoC) et les conseils d’atténuation, peut être lu ici.

Selon les chercheurs sur les menaces de Microsoft, plusieurs groupes APT iraniens déploient actuellement des ransomwares, menant une série d’attaques par vagues lancées toutes les six à huit semaines.

Dans une étude publiée aux côtés de CyberWarCon, Microsoft a détaillé l’activité d’un groupe qu’il suit sous le nom de Phosphorus, qui est connu pour avoir largement recherché des appareils vulnérables à CVE-2018-13379 à peu près en même temps que l’activité observée par le FBI / CISA. Il souhaite également utiliser BitLocker pour les activités de chiffrement et d’extorsion.

Le groupe Phosphorus APT se distingue également par ses tactiques d’ingénierie sociale, menant des conversations aller-retour avec ses cibles prévues qui semblent à première vue être une approche bénigne d’un recruteur, invitant les victimes à tester un lien Google Meeting contaminé, mais devenant de plus en plus harcelant et agressif si le lien n’est pas cliqué.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance