Porte dérobée de MURKYTOUR
En octobre 2024, UNC2428, un acteur malveillant lié à l'Iran, a lancé une campagne de cyberespionnage ciblant des Israéliens. Se faisant passer pour des recruteurs de l'entreprise israélienne de défense Rafael, le groupe a utilisé un stratagème d'ingénierie sociale axé sur l'emploi pour attirer ses victimes. Dès que les individus manifestaient leur intérêt, ils étaient redirigés vers un site web frauduleux imitant Rafael, où ils étaient invités à télécharger un outil nommé « RafaelConnect.exe ».
Table des matières
De l’intérêt à l’intrusion : la chaîne de diffusion des logiciels malveillants
L'outil téléchargé était en réalité un installateur appelé LONEFLEET. Il comportait une interface utilisateur graphique (IUG) conçue pour ressembler à un portail de candidature légitime, demandant des informations personnelles et le téléchargement d'un CV. Cette interface apparemment inoffensive dissimulait une intention malveillante. Lors de la soumission des données, une porte dérobée appelée MURKYTOUR était déployée silencieusement en arrière-plan via un lanceur nommé LEAFPILE, offrant aux attaquants un accès permanent au système infecté. Cette approche met en évidence l'utilisation stratégique des IUG par les acteurs malveillants pour masquer l'exécution de logiciels malveillants en activités bénignes.
Plus d’un acteur : l’expansion du paysage des cybermenaces iraniennes
L'opération UNC2428 n'est qu'une pièce du puzzle plus vaste des cyberopérations iraniennes. Cette campagne partage des caractéristiques avec les activités liées à Black Shadow, une entité accusée par la Direction nationale israélienne de la cybersécurité et soupçonnée d'opérer sous l'autorité du ministère iranien du Renseignement et de la Sécurité (VEVAK). Ses cibles couvrent de nombreux secteurs en Israël, notamment :
- Gouvernement et défense
- Santé et finances
- Technologie et communications
Un autre acteur, UNC3313, associé au groupe MuddyWater , mène des campagnes de spear-phishing depuis 2022 et est connu pour utiliser des outils de surveillance à distance légitimes afin de maintenir un accès furtif et permanent. De son côté, UNC1549 a adopté une infrastructure cloud pour mieux s'intégrer aux environnements d'entreprise et éviter toute détection.
Les cerveaux de la manipulation : APT42 et au-delà
APT42 , également connu sous le nom de Charming Kitten, est réputé pour ses techniques sophistiquées d'ingénierie sociale. Ce groupe a déployé de fausses pages de connexion se faisant passer pour des plateformes majeures comme Google, Microsoft et Yahoo! afin de récupérer des identifiants. Il a utilisé des plateformes comme Google Sites et Dropbox pour rediriger les victimes vers ces pages malveillantes, renforçant ainsi sa tromperie.
De plus, APT34 (OilRig) a utilisé des portes dérobées personnalisées telles que DODGYLAFFA et SPAREPRIZE pour attaquer les systèmes du gouvernement irakien. Au total, les experts en cybersécurité ont identifié plus de 20 familles de logiciels malveillants uniques, développés ou utilisés par des acteurs iraniens dans le cadre de diverses cyberopérations au Moyen-Orient en 2024.
Conclusion : une menace persistante et évolutive
Les cybercriminels iraniens ont connu une évolution notable de leurs tactiques, alliant manipulation psychologique et sophistication technique. Grâce à des interfaces utilisateur graphiques, des outils légitimes et des services cloud, ils affinent leur approche pour maintenir l'accès et échapper à la détection, ce qui représente un défi permanent pour les efforts de cybersécurité régionaux et mondiaux.
