FireEye identifie une nouvelle campagne de cyber-espionnage du groupe iranien APT34

0
131

Compte tenu des tensions géopolitiques croissantes au Moyen-Orient, FireEye s’attend à ce que l’Iran augmente considérablement le volume et la portée de ses campagnes de cyber-espionnage.

Tribune FireEye – L’Iran a un besoin crucial de renseignements stratégiques et il est probable qu’il comblera cette lacune en menant des opérations d’espionnage contre des décideurs et des organisations stratégiques qui détiennent des informations susceptibles de favoriser la réalisation de ses objectifs économiques et de sécurité nationale. L’identification de nouveaux malwares et la création de nouvelles infrastructures permettant le lancement de telles campagnes mettent en évidence l’accélération du rythme de ces opérations en support des intérêts iraniens.

FireEye identifie une campagne de phishing

Fin juin 2019, FireEye a identifié une campagne de phishing menée par APT34, un acteur de cybermenaces en lien avec l’Iran. Trois éléments principaux ont été mis en évidence avec cette campagne :

  1. L’usurpation de l’identité d’un membre de l’Université de Cambridge au sujet d’offres d’emploi pour gagner la confiance des victimes afin de les inciter à ouvrir des documents malveillants,
  2. L’utilisation de LinkedIn pour diffuser des documents malveillants,
  3. L’ajout de trois nouvelles familles de malwares à l’arsenal d’APT34.

Cette campagne a été déjouée avec succès par les équipes de FireEye Labs Advanced Reverse Engineering (FLARE), Intelligence et Advanced Practices. De plus, ont été identifiés trois nouvelles familles de malwares et la réapparition de PICKPOCKET, un malware utilisé exclusivement par APT34. Les nouvelles familles de malwares montrent qu’APT34 s’appuie sur leurs capacités de développement PowerShell, et s’essaie à Golang.

APT34 est un groupe de cyber-espionnage en lien avec l’Iran qui est actif depuis au moins 2014. Il utilise un mix d’outils publics et non-publics pour récolter des informations stratégiques profitant à des intérêts étatiques en lien avec des besoins géopolitiques et économiques. APT34 est aligné avec des acteurs identifiés par divers analystes de sécurité sous les noms d’OilRig et Greenbug. Historiquement, ce groupe de menaces a ciblé un large éventail d’industries opérant au Moyen Orient ; cependant, FireEye pense que les cibles prioritaires d’APT34 sont dans les secteurs de la finance, de l’énergie et des organisations gouvernementales.

Des informations supplémentaires sur APT34 sont disponibles dans cet article FireEye, ce post CERT-OPMD, et ce post Cisco.

Les industries ciblées

Les activités observées par FireEye Managed Defense, et décrites dans cet article, ont ciblé principalement les industries suivantes :

  • Les fournisseurs/distributeurs d’énergie
  • Les organisations gouvernementales
  • Le secteur du pétrole et du Gaz

Ce n’est pas la première fois qu’APT34 utilise des conversations liées au monde universitaire et/ou aux offres d’emploi dans ses campagnes de phishing. Ces conversations ont souvent lieu sur des plates-formes de réseaux sociaux, qui peuvent être un média de livraison efficace si une organisation ciblée s’appuie essentiellement sur la protection des emails pour prévenir les intrusions.

Conclusion

L’activité décrite dans cet article concerne un acteur de menaces iranien bien connu utilisant des techniques éprouvées pour s’introduire dans les organisations ciblées. Heureusement, les clients du service FireEye Managed Defense n’ont pas été impactés. De plus, lors de son intervention pour bloquer cette menace, FireEye a pu s’appuyer sur les indications observées pour identifier une campagne plus large, ainsi que l’utilisation de différents malwares anciens et nouveaux.

FireEye estime qu’APT34 continuera dans l’avenir à introduire de nouveaux outils. Les acteurs de menaces font souvent évoluer leurs TPPs pour échapper aux mécanismes de détection, surtout si la cible est d’importance stratégique. Pour ces raisons, les organisations doivent rester vigilantes en matière de sécurité, et analyser leur environnement de façon globale pour la protection de leurs informations.