lundi, décembre 4, 2023

« Scarred Manticore » lance le cyberespionnage iranien le plus avancé à ce jour



Un acteur malveillant parrainé par l’État iranien espionne des organisations de grande valeur à travers le Moyen-Orient depuis au moins un an, à l’aide d’un cadre malveillant furtif et personnalisable.

Dans un rapport publié le 31 octobre, les chercheurs de Check Point et Sygnia ont qualifié la campagne de « notablement plus sophistiquée par rapport aux activités précédentes » liées à l’Iran. Jusqu’à présent, les cibles ont concerné les secteurs gouvernemental, militaire, financier, informatique et des télécommunications en Israël, en Irak, en Jordanie, au Koweït, à Oman, en Arabie Saoudite et aux Émirats arabes unis. La nature exacte des données volées jusqu’à présent n’est pas rendue publique.

Le groupe responsable – identifié comme « Scarred Manticore » par Check Point et « Shrouded Snooper » par Cisco Talos – est lié au ministère iranien du Renseignement et de la Sécurité. Il recoupe le célèbre OilRig (alias APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm)et certains de ses outils ont été observés dans un double ransomware et wiper attaques contre les systèmes gouvernementaux albanais en 2021. Mais sa nouvelle arme le framework « Liontail », qui tire parti des fonctionnalités non documentées du pilote HTTP.sys pour extraire les charges utiles du trafic entrant, est à lui tout seul.

« Il ne s’agit pas simplement de shells Web distincts, de proxys ou de logiciels malveillants standards », explique Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez Check Point. « C’est un cadre grandeur nature, très spécifique à ses cibles. »

Outils évolutifs de Scarred Manticore

Scarred Manticore attaque les serveurs Windows connectés à Internet dans des organisations de grande valeur du Moyen-Orient depuis au moins 2019.

À ses débuts, il utilisait une version modifiée de le shell Web open source Tunna. Fourché 298 fois sur GitHub, Tunna est commercialisé comme un ensemble d’outils qui tunnelisent les communications TCP via HTTP, contournant ainsi les restrictions réseau et les pare-feu.

Au fil du temps, le groupe a apporté suffisamment de modifications à Tunna pour que les chercheurs le suivent sous le nouveau nom de « Foxshell ». Il a également utilisé d’autres outils, comme une porte dérobée basée sur .NET conçue pour les serveurs Internet Information Services (IIS), découvert pour la première fois mais non attribué en février 2022.

Après Foxshell est arrivée la dernière et plus grande arme du groupe : le framework Liontail. Liontail est un ensemble de chargeurs de shellcode personnalisés et de charges utiles de shellcode qui résident en mémoire, ce qui signifie qu’ils sont sans fichier, écrits en mémoire et laissent donc peu de traces perceptibles.

« C’est très furtif, car il n’existe pas de gros malware facile à identifier et à prévenir », explique Shykevich. Au lieu de cela, « il s’agit principalement de PowerShell, de proxys inversés, de shells inversés et très personnalisés en fonction des cibles ».

Détection de la Queue de Lion

La fonctionnalité la plus furtive de Liontail, cependant, est la façon dont il évoque les charges utiles avec des appels directs au pilote de pile HTTP Windows HTTP.sys. Décrit pour la première fois par Cisco Talos en septembrele malware s’attache essentiellement à un serveur Windows, écoutant, interceptant et décodant les messages correspondant à des modèles d’URL spécifiques déterminés par l’attaquant.

En effet, explique Yoav Mazor, chef d’équipe de réponse aux incidents chez Sygnia, « il se comporte comme un shell Web, mais aucun des journaux de shell Web traditionnels n’est réellement écrit ».

Selon Mazor, les principaux outils qui ont permis de révéler Scarred Manticore étaient les pare-feu d’applications Web et les écoutes au niveau du réseau. Et Shykevich, pour sa part, souligne l’importance du XDR pour étouffer des opérations aussi avancées.

« Si vous disposez d’une protection adéquate des terminaux, vous pouvez vous en défendre », dit-il. « Vous pouvez rechercher des corrélations entre le niveau du réseau et le niveau du point de terminaison – vous savez, des anomalies dans le trafic avec les shells Web et PowerShell dans les périphériques de point de terminaison. C’est la meilleure façon. »

Related Articles

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Latest Articles