Iranian Chafer APT attaque Air Transport et le gouvernement sur le Koweït et l’Arabie saoudite

Les chercheurs ont découvert une campagne de cybercriminalité du groupe de hackers CHAFER APT, apparemment lié au gouvernement iranien, et découvert plusieurs victimes du transport aérien et du gouvernement dans l’espoir de répandre des portes dérobées et d’ex-filtrer les données.

Ce groupe est actif depuis 2014 et a précédemment lancé des opérations de collecte d’informations au Moyen-Orient. Les attaques ont commencé en 2018 et ont duré en 2019, ciblant plusieurs entreprises telles que les télécommunications, les industries du voyage, etc. basées au Koweït et en Arabie saoudite.

Les campagnes étaient basées sur plusieurs outils, y compris les outils de «vivre hors de la terre», ce qui rend l’attribution difficile, ainsi que différents outils de piratage et une porte dérobée personnalisée.

Principales conclusions de l’analyse

  • Le transport aérien et le gouvernement étaient les principaux objectifs
  • L’activité des attaquants s’est produite le week-end
  • Un compte d’utilisateur des menaces que les acteurs ont été créés lors de l’attaque au Koweït
  • L’attaque en Arabie saoudite s’est appuyée sur l’ingénierie sociale pour tromper les utilisateurs
  • Les deux attaquants se sont concentrés sur l’exploitation des données et l’ex-filtration

Des cibles typiques notées dans les cyberattaques

Le groupe iranien est connu pour mener des campagnes visant des cibles politiques et d’autres secteurs d’où des données précieuses peuvent être filtrées. Ils utilisent diverses techniques trompeuses, notamment le cisaillement des e-mails avec des fichiers ou des liens malveillants et d’autres portes dérobées pour accéder à l’appareil ciblé. Après cela, ils peuvent facilement élever les privilèges et autres activités pour assurer une persistance complète sur le réseau.

Même avant, ce groupe visait le Moyen-Orient. Cependant, avec ces attaques, les pirates ont essayé une nouvelle façon de compromettre le réseau. Lors de l’attaque au Koweït, ils ont créé un compte d’utilisateur sur l’appareil et effectuent diverses activités telles que le réseau, la numérisation, le vol d’informations d’identification, etc. Ils utilisent à cet effet deux outils Mimikatz et CrackMapExec. Dans l’attaque en Arabie saoudite, les pirates ont trompé les gens pour installer et exécuter l’outil d’administration à distance.

Bien que ces deux attaques soient les exemples d’attaques les plus récents au Moyen-Orient, il est important de comprendre que ce type d’attaque peut se produire n’importe où dans le monde, et les infrastructures critiques comme le gouvernement et le transport aérien restent des cibles très sensibles.