
Le groupe de piratage iranien APT33 a utilisé un nouveau logiciel malveillant Tickler pour pirater les réseaux d’organisations des secteurs gouvernemental, de la défense, des satellites, du pétrole et du gaz aux États-Unis et aux Émirats arabes Unis.
Comme l’ont observé les chercheurs en sécurité de Microsoft, le groupe de menaces (également connu sous le nom de Peach Sandstorm et Refined Kitten), qui opère pour le compte du Corps des Gardiens de la Révolution islamique iranien (CGRI), a utilisé ce nouveau logiciel malveillant dans le cadre d’une campagne de collecte de renseignements entre avril et juillet 2024.
Tout au long de ces attaques, les auteurs de la menace ont exploité l’infrastructure Microsoft Azure pour le commandement et le contrôle (C2), en utilisant des abonnements Azure frauduleux contrôlés par des attaquants que l’entreprise a depuis perturbés.
APT33 a violé des organisations ciblées dans les secteurs de la défense, de l’espace, de l’éducation et du gouvernement à la suite d’attaques réussies par pulvérisation de mots de passe entre avril et mai 2024. Lors de ces attaques, ils ont tenté d’accéder à de nombreux comptes en utilisant un petit nombre de mots de passe couramment utilisés pour éviter de déclencher des verrouillages de compte.
« Alors que l’activité de pulvérisation de mots de passe apparaissait de manière cohérente dans tous les secteurs, Microsoft a observé que Peach Sandstorm exploitait exclusivement des comptes d’utilisateurs compromis dans le secteur de l’éducation pour se procurer une infrastructure opérationnelle. Dans ces cas, l’auteur de la menace a accédé aux abonnements Azure existants ou en a créé un en utilisant le compte compromis pour héberger son infrastructure », a déclaré Microsoft.
L’infrastructure Azure dont ils ont pris le contrôle a été utilisée dans des opérations ultérieures ciblant les secteurs du gouvernement, de la défense et de l’espace.

« Au cours de la dernière année, Peach Sandstorm a réussi à compromettre plusieurs organisations, principalement dans les secteurs susmentionnés, en utilisant des outils sur mesure », a ajouté Microsoft.
Le groupe de menaces iranien a également utilisé cette tactique en novembre 2023 pour compromettre les réseaux d’entrepreneurs de la défense dans le monde entier et déployer de faux logiciels malveillants de porte dérobée.
En septembre, Microsoft a mis en garde contre une autre campagne APT33 qui avait ciblé des milliers d’organisations dans le monde entier dans de vastes attaques par pulvérisation de mots de passe depuis février 2023, entraînant des violations dans les secteurs de la défense, des satellites et des produits pharmaceutiques.
Microsoft a annoncé qu’à partir du 15 octobre, l’authentification multifacteur (MFA) sera obligatoire pour toutes les tentatives de connexion Azure afin de protéger les comptes Azure contre les tentatives de phishing et de détournement.
La société a précédemment constaté que la MFA permettait à 99,99% des comptes activés par la MFA de résister aux tentatives de piratage et réduisait le risque de compromission de 98,56%, même lorsque des attaquants tentaient de violer des comptes en utilisant des informations d’identification précédemment compromises.