Le groupe APT iranien cible les gouvernements du Koweït et de l’Arabie Saoudite

Aujourd’hui, les chercheurs en cybersécurité font la lumière sur une campagne de cyber-espionnage iranienne dirigée contre des infrastructures critiques au Koweït et en Arabie Saoudite.

Selon Bitdefender, les opérations de collecte de renseignements ont été menées par Chafer APT (également connu sous le nom de APT39 ou Remix Kitten), un acteur de la menace connu pour ses attaques contre les industries des télécommunications et du voyage au Moyen-Orient afin de recueillir des informations personnelles qui servent les intérêts géopolitiques du pays.

« Les victimes des campagnes analysées s’inscrivent dans le schéma privilégié par cet acteur, tel que le transport aérien et les secteurs gouvernementaux au Moyen-Orient », ont déclaré les chercheurs dans un rapport (PDF) partagée avec The Hacker News, ajoutant qu’au moins une des attaques n’a pas été découverte pendant plus d’un an et demi depuis 2018.

« Les campagnes étaient basées sur plusieurs outils, notamment des outils pour « vivre de la terre », ce qui rend l’attribution difficile, ainsi que différents outils de piratage et une porte dérobée construite sur mesure ».

Connu pour être actif depuis 2014, l’APT Chafer a précédemment pour objectif Gouvernement turc organisations et les entités diplomatiques étrangères basée en Iran dans le but d’exfiltrer des données sensibles.

Un oeil de feu rapport L’année dernière, les preuves de l’intérêt porté par M. Chafer aux télécommunications et aux industries du voyage se sont multipliées. « Les entreprises de télécommunications sont des cibles attrayantes étant donné qu’elles stockent de grandes quantités d’informations personnelles et sur les clients, qu’elles fournissent un accès aux infrastructures essentielles utilisées pour les communications et qu’elles permettent d’accéder à un large éventail de cibles potentielles dans de multiples secteurs verticaux », a déclaré la société.

L’APT39 compromet ses cibles par le biais de courriels de harponnage avec des pièces jointes malveillantes et en utilisant divers outils détournés pour prendre pied, élever leurs privilèges, effectuer une reconnaissance interne et établir une persistance dans l’environnement de la victime.

Ce qui rend l’attaque koweïtienne plus élaborée, selon Bitdefender, c’est leur capacité à créer un compte utilisateur sur la machine des victimes et à effectuer des actions malveillantes à l’intérieur du réseau, y compris l’analyse du réseau (CrackMapExec), la collecte d’informations d’identification (Mimikatz), et à se déplacer latéralement à l’intérieur des réseaux en utilisant un large arsenal d’outils à leur disposition.

Selon les chercheurs, la plupart des activités ont lieu le vendredi et le samedi, ce qui coïncide avec le week-end au Moyen-Orient.

L’attaque contre une entité saoudienne, en revanche, a fait appel à l’ingénierie sociale pour amener la victime à utiliser un outil d’administration à distance (RAT), dont certaines composantes présentent des similitudes avec celles utilisées contre le Koweït et le Pakistan. Turquie.

« Bien que cette attaque n’ait pas été aussi importante que celle du Koweït, certaines preuves médico-légales suggèrent que les mêmes attaquants pourraient l’avoir orchestrée », ont déclaré les chercheurs. « Malgré les preuves de la découverte du réseau, nous n’avons pu trouver aucune trace de mouvement latéral, très probablement parce que les acteurs de la menace n’ont pu trouver aucune machine vulnérable ».

Les attaques contre le Koweït et l’Arabie Saoudite nous rappellent que Les efforts de l’Iran en matière de cyber-espionnage n’ont montré aucun signe de ralentissement. Compte tenu de la nature cruciale des industries concernées, les actions de Chafer poursuivent la tendance à frapper les pays qui agissent à l’encontre de ses ambitions nationales.

« Bien que ces deux exemples d’attaques soient les plus récents au Moyen-Orient, il est important de comprendre que ce type d’attaque peut se produire n’importe où dans le monde, et que les infrastructures critiques comme les gouvernements et les transports aériens restent des cibles très sensibles », a déclaré M. Bitdefender.