One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8574915 |
| Date de publication | 2024-09-11 23:46:33 (vue: 2024-09-12 00:18:12) |
| Titre | Targeted Iranian Attacks Against Iraqi Government Infrastructure |
| Texte | #### Géolocations ciblées - Irak #### Industries ciblées - agences et services gouvernementaux ## Instantané La recherche sur le point de vérification a récemment identifié de nouvelles familles de logiciels malveillants nommées "Veaty" et "Spearal" dans une campagne ciblant les entités irakiennes, y compris les réseaux gouvernementaux. ## Description Les logiciels malveillants utilisés dans ces attaques utilisent des techniques sophistiquées telles que une porte dérobée des services d'information sur Internet passive (IIS), une tunneling DNS et une communication de commande et de contrôle (C2) via des comptes de messagerie compromis.Ce canal C2, qui utilise des comptes de messagerie infiltrés au sein des organisations ciblées, indique que les attaquants ont réussi à pénétrer les réseaux des victimes.La campagne présente des similitudes avec les attaques précédentes attribuées à l'APT34, un groupe de menaces affilié à l'Iranian MOIS connu pour ses opérations au Moyen-Orient que Microsoft suit comme [Hazel Sandstorm] (https: // Security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d). Le malware nouvellement découvert, "Spearal", est un .net-Backdoor basée qui communique via le tunneling DNS.Il code pour les données dans DNS Queries \\ 'sous-domaines à l'aide d'un schéma de base 32 personnalisé."Veaty", une autre porte dérobée basée sur .NET, utilise des comptes de messagerie compromis pour les communications C2 et utilise plusieurs tactiques pour échapper à la détection, telles que la désactivation de la vérification du certificat SSL / TLS.Le logiciel malveillant utilise des règles et des configurations spécifiques pour déplacer des e-mails liés aux commandes aux dossiers cachés, minimisant les chances d'être découvertes. Les vecteurs d'infection initiaux impliquent des fichiers déguisés en pièces jointes légitimes de documents, en utilisant des doubles extensions comme "avamer.pdf.exe" ou "protocole.pdf.exe" pour tromper les utilisateurs.Une fois exécutés, ces fichiers déploient les logiciels malveillants via des scripts PowerShell ou Pyinstaller, qui manipulent les entrées de registre et fichiers pour la persistance.De plus, la boîte à outils de la campagne \\ comprend une nouvelle variante de la porte dérobée IIS nommée "cachehttp.dll", qui a probablement évolué à partir de versions plus anciennes comme "Rgdoor", montrant les attaquants \\ 'adaptation continue et raffinement de leurs méthodes. Selon Checkpoint Research, les tactiques, techniques et procédures (TTP) employées dans cette campagne s'alignent étroitement avec celles des familles malveillantes APT34 connues telles que Karkoff et Saitama.Ces outils présentent des similitudes dans la structure et les fonctionnalités du code, y compris le DNS et les tunnels basés sur des e-mails pour les communications C2.L'utilisation coordonnée de ces outils avancés et des méthodes C2 uniques met en évidence les efforts ciblés et persistants des acteurs de la menace iranienne contre les infrastructures gouvernementales irakiennes. ## Analyse Microsoft Microsoft Threat Intelligence assesses that the malicious activity described in this report is attributed to [Hazel Sandstorm](https://security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d) based on the IOCs and the group\'s previously observed tactics, techniques et procédures (TTPS).Hazel Sandstorm est un nom composite utilisé pour décrire plusieurs sous-groupes d'activité évalués pour avoir des liens avec le ministère du renseignement et de la sécurité de l'Iran \\, la principale agence de renseignement civil en Iran.Microsoft suit ces sous-groupes comme [Storm-0133] (https://security.microsoft.com/intel-profiles/0299fedd0f9f7671535556aae448f01ef9c3a75648558c5a22ba6641c619939), Storm-0150, [Storm-0166] (HTTPS://15 FCDE209955569784F44E34D191E57D1F933C13D5E6B87C304 |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 0133 0150 0166 0755 0861 2024** 365/security/defender access according accounts activity actor actors adaptation additionally advanced affiliated against agencies agency alerts align all america analysis another antivirus any apt34 are assessed assesses assets attachments attacker attackers attacks attributed avamer backdoor base32 based bears being block blocks browsers cachehttp campaign can center certificate chances channel check checkpoint civilian closely cloud cobalt code com/2024/iranian com/intel com/microsoft com/windows/security/threat combination command commodity communicates communication communications composite compromised configurations contain content continuous control coordinated copyright cover custom data defender delivered deploy describe described description detected detection disabling discovered disguised distribution dll dns document double east edge efforts email emails employed employs encodes encourage endpoint endpoint/configure entities entries equivalent europe evade evolved evolving exe executed exhibit exploits extensions facing families file files first folders following from functionality gathering geolocations government government/ group gypsy harden has have hazel helix hidden highlights host https://learn https://research https://security identified identifies identify iis impact includes including indicate indicates industries infection infiltrated information infrastructure initial intelligence internet intrusions involve iocs iran iranian iraq iraqi its karkoff kitten known larger learning legitimate like likely machine majority malicious malware managed manipulate means methods microsoft middle might minimizing ministry mitigations mois move name named national net network network: networks new newly north objectives observed oilrig older once operations operators organizations other overlaps overview part passive past pdf penetrate perimeter permission persistence persistent phishing point powershell previous previously primary private procedures product profiles/0299fedd0f9f7671535556aae448f01ef9c3a75648558cc5a22ba6641c619939 profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d profiles/dfe14233e7fe59a1099c5b41ab0e4d8ed24aebed38bc0615b15b9c71f98d5189 profiles/e75c30dac03473d46bf83d32cefa79cdbd4f16ee8fd4eb62cf714d7ba9c8de00 profiles/fcde209955569784f44e34d191e57d1f933c13d5e6b87c304985edfb13fb4033 prohibited protection protection/microsoft protections protocol public pursue pyinstaller queries rapidly recently recommendations recommends reduce references refinement registry related report reporting reproduction research reserved rgdoor rights rules saitama sandstorm scam scheme scripts sectors secure security services several showing sight similarities site sites smartscreen smartscreen/microsoft snapshot sophisticated spearal specific ssl/tls storm structure subdomains subgroups such support systems tactics targeted targeting targets techniques thereof these those threat through ties timestamps titles toolkit tools tracks trick ttps tunneling turn umbrella unique unknown use used users uses using utilizes utilizing variant variants veaty vectors verification versions victims web websites which within without written your |
| Tags | Malware Tool Threat |
| Stories | APT 34 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.