Logiciel malveillant Tickler
Un groupe de pirates informatiques parrainé par l’État iranien a utilisé une nouvelle porte dérobée personnalisée dans des attaques visant des organisations aux États-Unis et aux Émirats arabes unis. Le groupe de pirates informatiques APT33 , également connu sous le nom de Peach Sandstorm et Refined Kitten, a déployé un logiciel malveillant jusqu’alors inconnu, désormais suivi sous le nom de Tickler, pour compromettre les réseaux d’organisations des secteurs gouvernemental, de la défense, des satellites, du pétrole et du gaz. Selon les chercheurs, ce groupe, qui opère sous l’égide du Corps des gardiens de la révolution islamique iranien (IRGC), a utilisé le logiciel malveillant dans une campagne de collecte de renseignements entre avril et juillet 2024. Au cours de ces attaques, les pirates informatiques ont utilisé l’infrastructure Microsoft Azure pour des opérations de commandement et de contrôle (C2), en s’appuyant sur des abonnements Azure frauduleux qui ont depuis été perturbés par l’entreprise.
Table des matières
Secteurs cruciaux visés par l’opération d’attaque
Entre avril et mai 2024, APT33 a ciblé des organisations des secteurs de la défense, de l'espace, de l'éducation et du gouvernement par le biais d'attaques par pulvérisation de mots de passe. Ces attaques consistaient à tenter d'accéder à plusieurs comptes à l'aide d'un ensemble limité de mots de passe couramment utilisés pour éviter de déclencher le verrouillage des comptes.
Bien que l’activité de pulvérisation de mots de passe ait été observée dans divers secteurs, les chercheurs ont noté que Peach Sandstorm exploitait spécifiquement les comptes d’utilisateurs compromis dans le secteur de l’éducation pour établir son infrastructure opérationnelle. Les acteurs de la menace ont accédé aux abonnements Azure existants ou en ont créé de nouveaux en utilisant les comptes compromis pour héberger leur infrastructure. Cette infrastructure Azure a ensuite été utilisée dans d’autres opérations ciblant les secteurs du gouvernement, de la défense et de l’espace.
Au cours de l’année écoulée, Peach Sandstorm a infiltré avec succès plusieurs organisations de ces secteurs en utilisant des outils développés sur mesure.
Le logiciel malveillant Tickler ouvre la voie à de nouvelles menaces de logiciels malveillants
Tickler est identifié comme une porte dérobée personnalisée à plusieurs étapes qui permet aux attaquants d'installer des programmes malveillants supplémentaires sur les systèmes compromis. Selon Microsoft, les charges utiles malveillantes liées à Tickler peuvent collecter des informations système, exécuter des commandes, supprimer des fichiers et télécharger ou charger des fichiers vers et depuis un serveur de commande et de contrôle (C&C).
Campagnes de cybercriminalité précédentes d’APT33
En novembre 2023, le groupe de cybercriminels iranien a utilisé une tactique similaire pour pénétrer les réseaux des entreprises de défense du monde entier, en déployant le malware de porte dérobée FalseFont. Quelques mois plus tôt, des chercheurs avaient émis un avertissement concernant une autre campagne APT33 qui ciblait des milliers d’organisations dans le monde entier par le biais d’attaques massives de type « password spray » depuis février 2023, entraînant des violations dans les secteurs de la défense, des satellites et de l’industrie pharmaceutique.
Pour améliorer la sécurité contre le phishing et le piratage de compte, Microsoft a annoncé qu’à partir du 15 octobre, l’authentification multifacteur (MFA) deviendrait obligatoire pour toutes les tentatives de connexion à Azure.
Un malware de type backdoor peut entraîner de graves conséquences pour les victimes
Un malware de type backdoor présente des risques importants pour les utilisateurs individuels et les organisations en fournissant un accès non autorisé aux systèmes compromis. Une fois installé, le malware de type backdoor crée des points d'entrée cachés qui permettent aux attaquants de contourner les mesures de sécurité traditionnelles et de prendre le contrôle du réseau d'une victime. Cet accès élevé peut entraîner toute une série de conséquences graves.
Premièrement, les malwares de type backdoor permettent aux attaquants de récolter des informations sensibles, notamment des données personnelles, des dossiers financiers et des informations de propriété intellectuelle. Ces données collectées peuvent être utilisées pour le vol d’identité, la fraude financière ou l’espionnage industriel. En outre, les malwares peuvent faciliter d’autres attaques en permettant l’installation de logiciels malveillants supplémentaires, notamment des ransomwares, qui peuvent crypter des fichiers critiques et exiger une rançon pour leur libération.
Deuxièmement, les malwares de type backdoor peuvent compromettre l’intégrité du système et perturber les opérations. Les attaquants peuvent manipuler ou supprimer des fichiers importants, altérer les configurations du système et désactiver les outils de sécurité, ce qui entraîne des temps d’arrêt opérationnels et des pertes financières importantes. Ces perturbations peuvent être particulièrement dommageables pour les secteurs d’infrastructures critiques, tels que la santé, la finance et l’énergie, où les pannes de système peuvent avoir un impact sur la sécurité et les services publics.
De plus, les programmes malveillants de type backdoor facilitent souvent la surveillance et l'espionnage secrets. Les attaquants peuvent surveiller les activités des utilisateurs, capturer les frappes au clavier et accéder aux flux de webcam à l'insu de la victime, ce qui entraîne des violations de la vie privée et des informations confidentielles.
En résumé, un malware de type backdoor présente de sérieux risques en compromettant la sécurité des données, l’intégrité opérationnelle et la confidentialité. Sa capacité à fournir un accès persistant et non autorisé en fait une menace puissante qui nécessite des mesures de sécurité robustes et une surveillance vigilante pour atténuer son impact.