Des pirates informatiques iraniens déploient le malware Tickler dans le cadre de cyberattaques à enjeux élevés
Dans un développement inquiétant pour la cybersécurité mondiale, des pirates informatiques sponsorisés par l’État iranien ont introduit un nouveau malware personnalisé, baptisé Tickler , pour infiltrer et recueillir des renseignements sur les infrastructures critiques aux États-Unis et aux Émirats arabes unis. Le groupe à l’origine de cette campagne sophistiquée, suivi par Microsoft sous le nom de Peach Sandstorm — également connu sous divers autres pseudonymes comme APT33 , Elfin et Refined Kitten — n’a pas hésité à rechercher des données précieuses dans les secteurs ciblés.
Table des matières
Une nouvelle menace dans le cyberespace
Tickler n'est pas un simple malware, il représente une avancée significative dans les capacités des outils de cyberespionnage iraniens. Cette porte dérobée à plusieurs étapes est conçue pour pénétrer profondément dans les systèmes compromis, permettant aux attaquants d'exécuter toute une série d'activités malveillantes. De la collecte d'informations système sensibles à l'exécution de commandes et à la manipulation de fichiers, Tickler est un outil polyvalent pour les attaquants.
Cibler les secteurs critiques
Les principales cibles de cette campagne sont des organisations du secteur des satellites, des communications, du gouvernement et du pétrole et du gaz, des secteurs essentiels à la sécurité nationale des États-Unis et des Émirats arabes unis. La stratégie des attaquants est claire : perturber et recueillir des renseignements auprès de secteurs qui jouent un rôle essentiel dans les infrastructures de ces pays.
La menace persistante de la tempête de sable de Peach
Au fil des ans, Peach Sandstorm a démontré qu'il constituait une menace persistante et évolutive. Fin 2023, les activités du groupe se sont intensifiées, se concentrant sur les employés de la base industrielle de défense américaine. Leur approche ne se limite pas aux exploits techniques ; ils ont également exploité l'ingénierie sociale, notamment via LinkedIn, pour recueillir des renseignements et mettre à exécution leurs plans néfastes.
Le pouvoir de l’ingénierie sociale
LinkedIn s’est révélé être un outil précieux pour ces pirates informatiques, leur permettant de concevoir des attaques d’ingénierie sociale convaincantes qui incitent leurs cibles à se sentir faussement en sécurité. En manipulant la confiance au sein des réseaux professionnels, Peach Sandstorm parvient à briser efficacement les défenses qui, autrement, resteraient sécurisées.
Élargir leur arsenal
En plus de l'utilisation de Tickler , le groupe a continué à utiliser des attaques par pulvérisation de mots de passe, une technique visant à compromettre plusieurs comptes en exploitant des mots de passe faibles. Récemment, ces attaques ont été observées dans les secteurs de la défense, de l'espace, de l'éducation et du gouvernement aux États-Unis et en Australie.
Exploiter l'infrastructure cloud pour obtenir des gains néfastes
L’un des aspects les plus alarmants de cette campagne est l’utilisation d’abonnements Azure frauduleux pour des opérations de commandement et de contrôle. En exploitant une infrastructure cloud légitime, les pirates peuvent masquer leurs activités et compliquer la tâche des défenseurs qui tentent de détecter et d’atténuer leurs attaques.
Une cyber-offensive coordonnée
Le rapport de Microsoft sur Peach Sandstorm est publié à un moment remarquable, en même temps que le rapport Mandiant de Google Cloud sur les opérations de contre-espionnage iraniennes et qu'un avis du gouvernement américain sur les cyberactivités sponsorisées par l'État iranien. Cela suggère un effort plus large et coordonné des acteurs iraniens pour étendre leur cyberinfluence et collaborer avec des groupes de ransomware pour amplifier leur impact.
La nécessité de la vigilance
Alors que les pirates iraniens continuent de faire évoluer leurs tactiques, il est impératif pour les entreprises, en particulier celles des secteurs critiques, de rester vigilantes. L'introduction de Tickler marque un nouveau chapitre dans le cyberespionnage, soulignant la nécessité de mesures de cybersécurité robustes et d'une coopération internationale pour lutter contre ces menaces croissantes.
Les professionnels et les organisations de cybersécurité doivent rester à l’affût de ces évolutions, en s’assurant d’être prêts à se défendre contre des attaques de plus en plus sophistiquées provenant d’acteurs parrainés par des États comme Peach Sandstorm .