Le groupe iranien APT « Siamesekitten » cible des entreprises israéliennes dans une campagne de cyberespionnage

  • FrançaisFrançais



  • Des chercheurs en sécurité ont découvert une nouvelle campagne de cyberespionnage menée par des pirates iraniens ciblant les entreprises informatiques et de télécommunications en Israël avec des attaques de la chaîne d’approvisionnement. Traqué sous le nom de Siamesekitten (également connu sous le nom de Lyceum ou Hexane), le groupe iranien APT a imité le personnel des RH pour attirer les utilisateurs involontaires avec de fausses offres d’emploi.

    Selon une étude de la société de cybersécurité ClearSky, les acteurs de la menace ciblent spécifiquement les professionnels de l’informatique pour voler leurs informations d’identification, puis en tirer parti pour pénétrer dans les systèmes réseau de l’entreprise. Il s’avère que les attaquants détournent les victimes vers un faux site Web hébergé sur le serveur usurpateur d’identité. Le site Web présente deux fichiers de phishing : un fichier Excel qui déploie la macro malveillante et un fichier exécutable qui fournit la porte dérobée sur l’appareil ciblé. Le logiciel malveillant téléchargé connectera ensuite la machine compromise et le serveur C&C exploité par un pirate, déployant éventuellement le RAT.

    Ancien Groupe Nouveau Malware

    Depuis 2018, le groupe Siamesekitten cible principalement les organisations des secteurs du pétrole, du gaz et des télécommunications en Afrique et dans les pays du Moyen-Orient. ClearSky a déclaré avoir détecté deux attaques Siamesekitten en mai et juillet 2021 avec une nouvelle variante de malware – Requin.

    Séquence d’attaque du chaton siamois

    Les chercheurs de ClearSky ont également expliqué comment le groupe Siamesekitten initie son vecteur d’attaque. Ceci comprend:

    • Diriger la victime vers le site Web d’hameçonnage qui usurpe l’identité de l’organisation ciblée.
    • Création de fichiers leurres compatibles avec l’organisation usurpée.
    • Création d’un profil frauduleux sur LinkedIn, usurpant l’identité de l’employé du service RH mentionné.
    • Contacter les victimes potentielles avec une offre d’emploi séduisante, détaillant un poste dans l’organisation usurpée
    • Le DanBot RAT est téléchargé sur le système infecté.
    • Le groupe recueille des données via la machine infectée, mène des activités d’espionnage et tente de se propager au sein du réseau.

    « Cette campagne est similaire à la campagne nord-coréenne pour les « demandeurs d’emploi », utilisant ce qui est devenu un vecteur d’attaque largement utilisé ces dernières années : l’usurpation d’identité. L’objectif principal du groupe est de mener de l’espionnage et d’utiliser le réseau infecté pour accéder aux réseaux de leurs clients. Comme pour d’autres groupes, il est possible que l’espionnage et la collecte de renseignements soient les premières étapes vers l’exécution d’attaques d’usurpation d’identité ciblant les ransomwares ou les logiciels malveillants d’essuie-glace », a déclaré ClearSky.

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *