Microsoft affirme que le groupe de cyberespionnage iranien APT33 utilise des logiciels malveillants de porte dérobée FalseFont récemment découverts pour attaquer des entrepreneurs de la défense dans le monde entier.

« Microsoft a observé l’acteur de l’État-nation iranien Peach Sandstorm tentant de fournir une porte dérobée nouvellement développée nommée FalseFont aux personnes travaillant pour des organisations du secteur de la Base industrielle de défense (DIB) », a déclaré la société.

Le secteur DIB visé par ces attaques comprend plus de 100 000 entreprises de défense et sous-traitants impliqués dans la recherche et le développement de systèmes, sous-systèmes et composants d’armes militaires.

Également connu sous le nom de Peach Sandstorm, HOLMIUM ou Refined Kitten, ce groupe de piratage est actif depuis au moins 2013. Leurs cibles couvrent un large éventail de secteurs industriels aux États-Unis, en Arabie saoudite et en Corée du Sud, y compris les secteurs verticaux du gouvernement, de la défense, de la recherche, de la finance et de l’ingénierie.

FalseFont, la porte dérobée personnalisée déployée dans la campagne dévoilée par Microsoft aujourd’hui, fournit à ses opérateurs un accès à distance aux systèmes compromis, l’exécution de fichiers et le transfert de fichiers vers ses serveurs de commande et de contrôle (C2).

Selon Microsoft, cette souche de malware a été observée pour la première fois dans la nature vers début novembre 2023.

« Le développement et l’utilisation de FalseFont sont cohérents avec l’activité de Peach Sandstorm observée par Microsoft au cours de l’année écoulée, ce qui suggère que Peach Sandstorm continue d’améliorer son savoir-faire », a déclaré Redmond.

Il est conseillé aux défenseurs du réseau de réinitialiser les informations d’identification des comptes ciblés par des attaques par pulvérisation de mots de passe afin de réduire la surface d’attaque ciblée par les pirates APT33.

Ils doivent également révoquer les cookies de session et sécuriser les comptes et les points de terminaison de bureau virtuel RDP ou Windows à l’aide de l’authentification multifacteur (MFA).

Les entrepreneurs de la défense attaqués
En septembre, Microsoft a mis en garde contre une autre campagne coordonnée par le groupe de menaces APT33 qui ciblait des milliers d’organisations à travers le monde, y compris dans le secteur de la défense, dans le cadre d’attaques par pulvérisation de mots de passe étendues depuis février 2023.

« Entre février et juillet 2023, Peach Sandstorm a mené une vague d’attaques par pulvérisation de mots de passe tentant de s’authentifier auprès de milliers d’environnements », a déclaré l’équipe de renseignement sur les menaces de Microsoft.

« Tout au long de 2023, Peach Sandstorm a constamment manifesté son intérêt pour les organisations américaines et d’autres pays dans les secteurs des satellites, de la défense et, dans une moindre mesure, des produits pharmaceutiques. »

Les attaques ont entraîné le vol de données d’un nombre limité de victimes dans les secteurs de la défense, des satellites et des produits pharmaceutiques.

Un groupe de piratage lié à l’Iran surnommé DEV-0343 par des chercheurs du Microsoft Threat Intelligence Center (MSTIC) a également attaqué des entreprises américaines et israéliennes de technologie de défense il y a deux ans, selon un rapport Microsoft d’octobre 2012.

Ces dernières années, des agences de défense et des entrepreneurs du monde entier ont également atterri dans le collimateur de pirates informatiques russes, Nord-coréens et chinois.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *