Un acteur menaçant lié à l’Iran connu sous le nom de UNC1549 a été attribué avec un degré de confiance moyen à une nouvelle série d’attaques visant les industries de l’aérospatiale, de l’aviation et de la défense au Moyen-Orient, notamment en Israël et aux Émirats arabes unis.
D’autres cibles de l’activité de cyberespionnage incluent probablement la Turquie, l’Inde et l’Albanie, a déclaré Mandiant, propriété de Google, dans une nouvelle analyse.
UNC1549 chevaucherait Smoke Sandstorm (anciennement Bohrium) et Crimson Sandstorm (anciennement Curium), ce dernier étant un groupe affilié au Corps des Gardiens de la révolution islamique (CGRI), également connu sous le nom de Imperial Kitten, TA456, Tortoiseshell et Yellow Liderc. .
“Cette activité suspectée de l’UNC1549 est active depuis au moins juin 2022 et est toujours en cours en février 2024”, a indiqué la société. “Bien que de nature régionale et concentré principalement sur le Moyen-Orient, le ciblage inclut des entités opérant dans le monde entier.”
Les attaques impliquent l’utilisation de l’infrastructure cloud Microsoft Azure pour le commandement et le contrôle (C2) et l’ingénierie sociale impliquant des leurres liés au travail pour fournir deux portes dérobées baptisées MINIBIKE et MINIBUS.
Les e-mails de spear phishing sont conçus pour diffuser des liens vers de faux sites Web contenant du contenu lié à Israël-Hamas ou de fausses offres d’emploi, entraînant le déploiement d’une charge utile malveillante. On a également observé de fausses pages de connexion imitant les grandes entreprises pour récolter des informations d’identification.
Les portes dérobées personnalisées, lors de l’établissement de l’accès C2, agissent comme un canal pour la collecte de renseignements et pour un accès ultérieur au réseau ciblé. Un autre outil déployé à ce stade est un logiciel de tunneling appelé LIGHTRAIL qui communique à l’aide du cloud Azure.
Alors que MINIBIKE est basé sur C++ et capable d’exfiltrer et de télécharger des fichiers, ainsi que d’exécuter des commandes, MINIBUS sert de « successeur plus robuste » avec des fonctionnalités de reconnaissance améliorées.
“Les renseignements collectés sur ces entités sont pertinents pour les intérêts stratégiques iraniens et peuvent être exploités à des fins d’espionnage ainsi que d’opérations cinétiques”, a déclaré Mandiant.
« Les méthodes d’évasion déployées dans cette campagne, à savoir les leurres sur mesure sur le thème du travail combinés à l’utilisation de l’infrastructure cloud pour C2, peuvent compliquer la tâche des défenseurs des réseaux pour prévenir, détecter et atténuer cette activité.
CrowdStrike, dans son rapport sur les menaces mondiales pour 2024, a décrit comment « les faux activistes associés aux adversaires iraniens liés au lien avec l’État et les hacktivistes se présentant comme « pro-palestiniens » se sont concentrés sur le ciblage des infrastructures critiques, des systèmes d’alerte aux projectiles aériens israéliens et des activités destinées à des fins d’opérations d’information. en 2023.”
Cela inclut Banished Kitten, qui a déclenché le logiciel malveillant BiBi wiper, et Vengeful Kitten, un alias de Moses Staff qui a revendiqué une activité d’effacement de données sur les systèmes de contrôle industriel (ICS) de plus de 20 entreprises en Israël.
Cela dit, les adversaires liés au Hamas ont été visiblement absents des activités liées au conflit, ce que la société de cybersécurité a attribué aux probables perturbations du courant électrique et d’Internet dans la région.