APT lié à l’Iran ciblant les secteurs des technologies de la défense américaine et israélienne : Microsoft

  • Français


  • Microsoft Threat Intelligence Center (MSTIC) a observé DEV-0343, un nouveau cluster d’activités, effectuant une vaste pulvérisation de mots de passe contre plus de 250 locataires Office 365, en mettant l’accent sur les entreprises de technologie de défense américaines et israéliennes, les ports d’entrée du golfe Persique ou le transport maritime mondial entreprises ayant une présence commerciale au Moyen-Orient.

    Selon MSTIC, « Moins de 20 des locataires ciblés ont été compromis avec succès, mais DEV-0343 continue de faire évoluer ses techniques pour affiner ses attaques. MSTIC a noté que les comptes Office 365 avec l’authentification multifacteur (MFA) activée sont résilients contre les pulvérisations de mots de passe.

    DEV-0343 émule le navigateur Firefox et utilise des adresses IP hébergées sur un réseau proxy Tor pour effectuer de nombreuses pulvérisations de mots de passe. Il a été observé que plus d’un millier d’adresses IP proxy Tor uniques ont été utilisées dans des attaques contre chaque organisation.

    Les opérateurs DEV-0343 ciblent généralement deux points de terminaison Exchange – Autodiscover et ActiveSync – en tant que fonctionnalité de l’outil de pulvérisation d’énumération/mot de passe qu’ils utilisent. Cela permet à DEV-0343 de valider les comptes et mots de passe actifs, et d’affiner davantage leur activité de pulvérisation de mots de passe.

    Directives du Microsoft Threat Intelligence Center

    Le MSTIC a publié quelques lignes directrices qui peuvent atténuer la menace :

    • Activez l’authentification multifacteur pour atténuer les informations d’identification compromises.
    • Pour les utilisateurs d’Office 365, consultez la prise en charge de l’authentification multifacteur.
    • Pour les comptes de messagerie grand public et personnels, découvrez comment utiliser la vérification en deux étapes.
    • Téléchargez et utilisez des solutions sans mot de passe comme Microsoft Authenticator pour sécuriser les comptes.
    • Examinez et appliquez les stratégies d’accès Exchange Online recommandées.
    • Empêchez les clients ActiveSync de contourner les politiques d’accès conditionnel.
    • Bloquez tout le trafic entrant des services d’anonymisation dans la mesure du possible.

    Les infrastructures critiques, les services essentiels, le secteur financier et les soins de santé étaient et continuent d’être la cible principale des cyberattaques préméditées. La volonté vicieuse de perturber un pays et ses services a motivé des cyberattaques parrainées par l’État. Bien que des politiques et des réglementations gouvernementales soient mises en place pour lutter contre les cyberattaques contre les services critiques, les attaques se poursuivent sans relâche.

    Lire aussi :

    1. Le groupe iranien APT « Siamesekitten » cible des entreprises israéliennes dans une campagne de cyberespionnage
    2. Des pirates iraniens se font passer pour l’université britannique dans la campagne de phishing « SpoofedScholars »

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *