Un groupe iranien de cyberespionnage s’en prend aux secteurs financier et gouvernemental du Moyen-Orient

Depuis au moins un an, un acteur de la menace affilié au ministère iranien du Renseignement et de la Sécurité (MOIS) mène une campagne de cyberespionnage sophistiquée visant les secteurs financier, gouvernemental, militaire et des télécommunications au Moyen-Orient.

La société israélienne de cybersécurité Check Point, qui a découvert la campagne en même temps que Sygnia, suit l’acteur sous le nom de Scarred Manticore, qui serait étroitement lié à un groupe émergent baptisé Storm-0861, l’un des quatre groupes iraniens liés à des attaques destructrices contre le gouvernement albanais l’année dernière.

Les victimes de l’opération se trouvent dans divers pays tels que l’Arabie saoudite, les Émirats arabes unis, la Jordanie, le Koweït, Oman, l’Irak et Israël.

Scarred Manticore présente également un certain degré de chevauchement avec OilRig, une autre équipe d’État-nation iranienne à laquelle on a récemment attribué une attaque contre un gouvernement anonyme du Moyen-Orient entre février et septembre 2023, dans le cadre d’une campagne de huit mois.

Une autre série de chevauchements tactiques a été découverte entre l’adversaire et un ensemble d’intrusions dont le nom de code est ShroudedSnooper, selon Cisco Talos. Les chaînes d’attaques orchestrées par l’acteur de la menace ont ciblé des fournisseurs de télécommunications au Moyen-Orient en utilisant une porte dérobée furtive connue sous le nom de HTTPSnoop.

L’activité représentée par Scarred Manticore se caractérise par l’utilisation d’un cadre de logiciels malveillants passifs inconnu jusqu’à présent, appelé LIONTAIL, qui est installé sur des serveurs Windows. L’acteur de la menace serait actif depuis au moins 2019.

« Scarred Manticore poursuit des cibles de grande valeur depuis des années, en utilisant une variété de portes dérobées basées sur IIS pour attaquer les serveurs Windows », ont déclaré les chercheurs de Check Point dans une analyse publiée mardi. « Il s’agit notamment d’une variété de shells web personnalisés, de portes dérobées DLL personnalisées et d’implants basés sur des pilotes.
LIONTAIL est un logiciel malveillant avancé qui regroupe des chargeurs de shellcodes personnalisés et des charges utiles de shellcodes résidant dans la mémoire. Un composant remarquable du cadre est un implant léger mais sophistiqué écrit en C qui permet aux attaquants d’exécuter des commandes à distance via des requêtes HTTP.

Les séquences d’attaque impliquent l’infiltration de serveurs Windows accessibles au public pour lancer le processus de diffusion du logiciel malveillant et récolter systématiquement les données sensibles des hôtes infectés. « Au lieu d’utiliser l’API HTTP, le logiciel malveillant utilise des IOCTL pour interagir directement avec le pilote de système HTTP sous-jacent », ont déclaré les chercheurs, détaillant le mécanisme de commande et de contrôle (C2). »Cette approche est plus furtive car elle n’implique pas IIS ou l’API HTTP, qui sont généralement surveillés de près par les solutions de sécurité, mais elle n’est pas simple car les IOCTL pour le système HTTP ne sont pas documentés et nécessitent des efforts de recherche supplémentaires de la part des acteurs de la menace. Il convient de noter à ce stade que la porte dérobée LIONTAIL est identique à HTTPSnoop car elle utilise le pilote HTTP sys pour extraire des charges utiles du trafic HTTP entrant.

D’un point de vue technique, l’une des opérations intrigantes est que l’acteur de la menace utilise un implant sur mesure pour chaque serveur compromis, ce qui permet aux activités malveillantes de se fondre dans l’environnement de la victime et de rendre difficile la distinction entre le trafic réseau suspect et légitime. LIONTAIL est également déployé aux côtés de divers outils de redirection de sites Web appelés LIONHEAD.

L’activité historique de Scarred Manticore indique une évolution continue de l’arsenal de logiciels malveillants du groupe ; l’acteur de la menace s’appuyait auparavant sur des shells web tels que Tunna, une version sur mesure appelée FOXSHELL, pour accéder à la porte dérobée. Depuis la mi-2020, l’acteur de la menace aurait également utilisé une porte dérobée passive basée sur .NET, appelée SDD, qui établit une communication C2 par l’intermédiaire d’un auditeur HTTP sur la machine infectée dans le but ultime d’exécuter des commandes arbitraires, de télécharger des fichiers et d’exécuter d’autres assemblages .NET. Les mises à jour progressives sont des outils tactiques typiques d’un groupe expérimenté et bien doté en ressources ; ce qui correspond aux conclusions de rapports antérieurs liant Scarred Manticore au MOIS

.

Le Federal Bureau of Investigation (FBI) des États-Unis a averti que la situation pourrait aggraver le « cyberciblage des intérêts américains et des infrastructures critiques » par l’Iran et des acteurs non étatiques. L’utilisation par Scarred Manticore d’un pilote de noyau malveillant appelé WINTAPIX, découvert par Fortinet au début du mois de mai, en est la meilleure illustration.

En bref, WinTapix.sys agit comme un chargeur pour exécuter l’étape suivante de l’attaque, en injectant un shellcode intégré dans un processus en mode utilisateur approprié qui, à son tour, exécute une charge utile .NET cryptée spécialement conçue pour cibler les serveurs Microsoft Internet Information Services (IIS).
</Les composants du cadre LIONTAIL partagent des artefacts d’obscurcissement et de chaîne similaires avec FOXSHELL, la porte dérobée SDD et les pilotes WINTAPIX », a déclaré Check Point. Le ciblage d’Israël intervient dans le cadre de la guerre entre Israël et le Hamas, qui a incité des groupes d’hacktivistes peu sophistiqués à attaquer diverses organisations dans le pays, ainsi que dans des pays comme l’Inde et le Kenya, ce qui suggère que les acteurs étatiques nationaux s’appuient sur des opérations d’information visant à influencer la perception du conflit à l’échelle mondiale.

« En examinant l’historique de leurs activités, on se rend compte du chemin parcouru par les acteurs de la menace pour améliorer leurs attaques et renforcer leur approche qui repose sur des implants passifs. » Rejoignez-nous pour notre webinaire afin d’apprendre à relever les défis, à lancer un programme et à choisir la bonne solution.