FireEye identifie une nouvelle campagne de cyberespionnage du groupe iranien APT34.
FireEye l’affirme, il s’attend « à ce que l’Iran augmente considérablement le volume et la portée de ses campagnes de cyberespionnage« , car il a besoin « de renseignements stratégiques » pour « favoriser la réalisation de ses objectifs économiques et de sécurité nationale« . Seront donc visés des décideurs et des organisations stratégiques.
L’éditeur a déjà, dit-il, identifié des nouveaux malwares et des nouvelles infrastructures permettant le lancement de telles campagnes. Il cite en exemple une campagne de phishing repérée à la fin du mois dernier, et menée par APT34, un acteur de cyber menaces en lien avec l’Iran.
Trois éléments principaux ont été mis en évidence avec cette campagne :
- L’usurpation de l’identité d’un membre de l’Université de Cambridge au sujet d’offres d’emploi pour gagner la confiance des victimes afin de les inciter à ouvrir des documents malveillants
- L’utilisation de LinkedIn pour diffuser des documents malveillants. Les conversations peuvent être un média de livraison efficace si une organisation ciblée s’appuie essentiellement sur la protection des emails pour prévenir les intrusions.
- L’ajout de trois nouvelles familles de malwares à l’arsenal d’APT34. FireEyes a repéré aussi la réapparition de Pickpocket, un malware utilisé exclusivement par APT34. « Les nouvelles familles de malwares montrent qu’APT34 s’appuie sur leurs capacités de développement PowerShell, et s’essaie à Golang« , explique l’éditeur.
APT34 est actif depuis au moins 2014. Il est aligné avec des acteurs identifiés par divers analystes de sécurité sous les noms d’OilRig et Greenbug. Historiquement, ce groupe de menaces a ciblé un large éventail d’industries opérant au Moyen Orient. Cependant, FireEye pense que les cibles prioritaires d’APT34 sont dans les secteurs de la finance, de l’énergie (pétrole et gaz) et des organisations gouvernementales.
