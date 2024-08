Rapport du TAG : des acteurs de la menace de l'Iran ciblent les États-Unis et Israël

Hameçonnage sur Google Sites : Le TAG annonce avoir supprimé plusieurs pages Google Sites créées par APT42 qui se faisaient passer pour une pétition de l'Agence juive légitime pour Israël appelant le gouvernement israélien à entamer une médiation pour mettre fin au conflit.



Le texte de la pétition était intégré dans des fichiers images au lieu de HTML. La page Sites comprenait une URL de redirection ngrok, un service gratuit pour les développeurs qu'APT42 a déjà utilisé pour rediriger les utilisateurs vers des pages d'hameçonnage.







Les courriels ont été envoyés à partir de comptes hébergés par divers fournisseurs de services de messagerie et ne contenaient pas de contenu malveillant. Ces courriels étaient probablement destinés à susciter l'engagement des destinataires avant qu'APT42 ne tente de compromettre les cibles. Google a suspendu les comptes Gmail associés à APT42.



Une campagne menée en juin 2024 auprès d'ONG israéliennes a utilisé une pièce jointe PDF bénigne usurpant l'identité du Project Aladdin, qui contenait un lien URL raccourci redirigeant vers une page d'atterrissage d'un kit d'hameçonnage conçu pour recueillir les identifiants de connexion à Google.





APT42 s'est fait passer pour le légitime Washington Institute for Near East Policy dans de multiples campagnes depuis avril 2024, ciblant des diplomates et des journalistes israéliens, des chercheurs de groupes de réflexion américains et d'autres personnes. Dans ces campagnes, les attaquants ont défini le nom d'affichage de l'email comme étant celui d'un chercheur légitime affilié à l'Institut de Washington, mais l'adresse email sous-jacente ne provenait pas du domaine officiel .org .

APT42 enregistre des domaines typosquat très proches des domaines légitimes des organisations dont ils usurpent l'identité. Par exemple, APT42 a utilisé le domaine understandingthewar[.]org pour cibler des membres de l'armée américaine en se faisant passer pour l'Institut pour l'étude de la guerre. De même, APT42 a enregistré brookings[.]email pour usurper l'identité de la Brookings Institution et l'a utilisé dans de multiples campagnes visant Israël.

GCollection/LCollection/YCollection : un outil sophistiqué de collecte d'informations d'identification observé par TAG, capable de collecter les informations d'identification des utilisateurs de Google, Hotmail et Yahoo respectivement. Ce kit a connu une évolution constante depuis qu'il a été observé pour la première fois par APT42 en janvier 2023. La version actuelle met en œuvre un flux transparent qui prend en charge l'authentification multifactorielle, les codes PIN des appareils et les codes de récupération à usage unique sur les trois plateformes. Une série d'URL de pages d'atterrissage est incluse dans les indicateurs de compromission.



Des documents internes à la campagne du candidat à l’élection présidentielle américaine, Donald Trump, ont fait l’objet de divulgation publique. L'équipe de campagne de Donald Trump a déclaré que des pirates informatiques étrangers se sont introduits dans ses systèmes et ont eu accès à des communications internes, dans le but "". La déclaration de l'équipe de campagne de Donald Trump laisse entendre que des pirates iraniens sont à l'origine du piratage. Mais de multiples voix se sont levé pour indiquer que ces déclarations sont à prendre avec des pincettes. "", selon des commentaires.Récemment, l'équipe chargée des menaces de Google (Threat Analysis Group ou TAG) a confirmé que l'Iran ciblait les campagnes de Trump, Biden et Harris pour les élections américaines. Le groupe d'analyse des menaces de Google a confirmé avoir observé un acteur de la menace soutenu par le gouvernement iranien (dénommé APT42) ciblant les comptes Google associés aux campagnes présidentielles américaines, en plus d'une intensification des attaques contre des cibles israéliennes.Le TAG de Google ajoute qu'il a réinitialisé des comptes, envoyé des avertissements aux utilisateurs et mis sur liste noire des domaines associés aux tentatives d'hameçonnage d'APT42.APT42, associé au Corps des gardiens de la révolution islamique d'Iran, "", déclare le Threat Analysis Group (TAG). Le groupe iranien utilise des logiciels malveillants hébergés, des pages d'hameçonnage, des redirections malveillantes et d'autres tactiques pour accéder aux comptes Google, Dropbox, OneDrive et autres comptes basés sur le cloud.Parmi les outils d'APT42 figuraient des pages Google Sites qui semblaient être une pétition émanant d'activistes juifs légitimes, demandant à Israël de jouer un rôle de médiateur dans le conflit qui l'oppose au Hamas. La page était créée à partir de fichiers images, et non HTML, et une redirection renvoyait les utilisateurs vers des pages de phishing lorsqu'ils signaient la pétition.Aux États-Unis, le TAG de Google note que, comme pour les élections de 2020, APT42 cible activement les courriels personnels d' "". Le TAG confirme qu'APT42 "", qui pourrait être l'agent républicain de longue date Roger Stone, selon plusieurs rapports. Microsoft a indiqué séparément qu'un "" de la campagne Trump avait vu son compte Microsoft compromis, ce que Stone a également confirmé.Voici les détails du rapport de l'équipe chargée des menaces de Google (TAG) :Le groupe d'analyse des menaces (TAG) de Google vient de partager des informations sur APT42, un acteur de la menace soutenu par le gouvernement iranien, et sur ses campagnes de phishing ciblées contre Israël et des cibles israéliennes. Le rapport du TAG confirme également les récents rapports concernant le ciblage par APT42 de comptes associés à l'élection présidentielle américaine.Associé au Corps des gardiens de la révolution islamique d'Iran (IRGC), APT42 cible régulièrement des utilisateurs de premier plan en Israël et aux États-Unis, notamment d'anciens et d'actuels responsables gouvernementaux, des campagnes politiques, des diplomates, des personnes travaillant dans des groupes de réflexion, ainsi que des ONG et des établissements universitaires qui contribuent aux discussions sur la politique étrangère.Au cours des six derniers mois, les États-Unis et Israël ont représenté environ 60 % des cibles géographiques connues d'APT42, y compris d'anciens hauts responsables militaires israéliens et des personnes affiliées aux deux campagnes présidentielles américaines. Ces activités témoignent des efforts agressifs et multidimensionnels déployés par le groupe pour modifier rapidement son orientation opérationnelle afin de soutenir les priorités politiques et militaires de l'Iran.En avril 2024, APT42 a intensifié son ciblage des utilisateurs basés en Israël. Il a recherché des personnes ayant des liens avec l'armée israélienne et le secteur de la défense, ainsi que des diplomates, des universitaires et des ONG.APT42 utilise une variété de tactiques différentes dans le cadre de ses campagnes d'hameçonnage par courriel : y compris l'hébergement de logiciels malveillants, de pages d'hameçonnage et de redirections malveillantes. Ils essaient généralement d'abuser de services tels que Google (Sites, Drive, Gmail et autres), Dropbox, OneDrive et autres à ces fins.Pour perturber APT42, le TAG a réinitialisé tous les comptes compromis, envoyé des avertissements d'attaquants soutenus par le gouvernement aux utilisateurs ciblés, mis à jour les détections, perturbé les pages Google Sites malveillantes et ajouté des domaines et URL malveillants à la liste de blocage Safe Browsing - démantelant ainsi l'infrastructure du groupe.Selon des rapports antérieurs, Google s'efforce d'identifier et de perturber les activités malveillantes dans le contexte des élections démocratiques. Par exemple, au cours du cycle des élections présidentielles américaines de 2020, ils ont perturbé les tentatives d'APT42 visant à cibler des comptes associés aux campagnes présidentielles de Biden et de Trump.Au cours du cycle actuel des élections présidentielles américaines, le TAG a détecté et perturbé une cadence faible mais régulière de l'activité d'hameçonnage d'informations d'identification du groupe C d'APT42. En mai et juin, les cibles d'APT42 comprenaient les comptes de messagerie personnels d'une douzaine de personnes affiliées au président Biden et à l'ancien président Trump, y compris des fonctionnaires actuels et anciens du gouvernement américain et des personnes associées aux campagnes respectives. Le TAG affirme avoir bloqué de nombreuses tentatives d'APT42 de se connecter aux comptes de messagerie personnels des personnes ciblées.Des rapports publics récents montrent qu'APT42 a réussi à pénétrer dans des comptes de plusieurs fournisseurs de messagerie. Les travaux du TAG ont confirmé que le groupe avait réussi à accéder au compte Gmail personnel d'un consultant politique de premier plan. En plus des actions habituelles consistant à sécuriser rapidement tout compte compromis et à envoyer aux comptes ciblés des avertissements aux attaquants soutenus par le gouvernement, le TAG a également transmis cette activité malveillante aux forces de l'ordre début juillet et continue à coopérer avec elles.Dans le même temps, ils ont également informé les responsables de la campagne que Google constatait une augmentation des activités malveillantes provenant d'acteurs étatiques étrangers et souligné l'importance de renforcer les protections de sécurité des comptes de courrier électronique personnels. Le TAG poursuit son observation des tentatives infructueuses d'APT42 pour compromettre les comptes personnels de personnes affiliées au président Biden, à la vice-présidente Harris et à l'ancien président Trump, y compris des fonctionnaires actuels et anciens et des personnes associées aux campagnes.Dans les campagnes de phishing que TAG a perturbées, APT42 utilise souvent des tactiques telles que l'envoi de liens de phishing soit directement dans le corps du courriel, soit sous la forme d'un lien dans une pièce jointe PDF par ailleurs inoffensive. Dans ces cas-là, APT42 attire la cible avec un leurre d'ingénierie sociale pour organiser une réunion vidéo, puis envoie un lien vers une page d'atterrissage où la cible est invitée à se connecter et envoyée vers une page d'hameçonnage.Une campagne comportait un leurre de phishing avec un lien Google Sites contrôlé par l'attaquant qui dirigeait la cible vers une fausse page d'atterrissage Google Meet. D'autres leurres concernaient OneDrive, Dropbox et Skype. Au cours des six derniers mois, le TAG A systématiquement perturbé la capacité de ces attaquants à abuser de Google Sites dans plus de 50 campagnes similaires.Un autre modèle de campagne d'APT42 consiste à envoyer des pièces jointes PDF légitimes dans le cadre d'un leurre d'ingénierie sociale afin d'instaurer la confiance et d'encourager la cible à s'engager sur d'autres plateformes telles que Signal, Telegram ou WhatsApp. Le TAG prévoit que les attaquants utiliseront ensuite ces plateformes pour envoyer un kit d'hameçonnage afin de collecter des informations d'identification.APT42 dispose d'un certain nombre de kits d'hameçonnage qui ciblent diverses pages de connexion, notamment :Ce spear phishing s'appuie sur la reconnaissance, en utilisant des outils de marketing open-source et de recherche sur les médias sociaux pour identifier les adresses électroniques personnelles qui pourraient ne pas avoir d'authentification multifactorielle par défaut ou d'autres mesures de protection que l'on voit généralement sur les comptes d'entreprise.APT42 a également développé une forte compréhension des fournisseurs de messagerie qu'ils ciblent, recherchant souvent les paramètres de sécurité des comptes qu'ils ciblent en utilisant des flux de travail de connexion ou de récupération échoués pour déterminer le deuxième facteur d'authentification configuré afin de mieux cibler leurs tentatives de phishing initiales.Par exemple, dans certains cas, ils ont identifié qu'un compte était configuré pour utiliser des invites de périphériques comme second facteur accepté et ont ajouté leur support dans leur kit d'hameçonnage GCollection. APT42 combine ensuite cette approche avec la connaissance de l'emplacement géographique actuel de la cible, basée sur des recherches publiques ou sur l'ingénierie sociale. Par conséquent, les tentatives de connexion et de récupération d'APT42 proviennent souvent du bon emplacement géographique, avec les bonnes informations d'identification et le bon deuxième facteur d'authentification de l'utilisateur.Une fois qu'APT42 a accédé à un compte, il ajoute souvent des mécanismes d'accès supplémentaires, notamment en modifiant les adresses électroniques de récupération et en utilisant des fonctions qui permettent d'utiliser des applications qui ne prennent pas en charge l'authentification multifactorielle, comme les mots de passe spécifiques à une application dans Gmail et les mots de passe d'applications tierces dans Yahoo. Le programme de protection avancée de Google révoque et désactive ces mots de passe spécifiques aux applications dans Gmail, protégeant ainsi les utilisateurs de cette tactique.APT42 est un acteur sophistiqué et persistant qui ne montre aucun signe d'arrêt dans ses tentatives de cibler les utilisateurs et de déployer de nouvelles tactiques. Ce printemps et cet été, il a démontré sa capacité à mener de nombreuses campagnes d'hameçonnage simultanées, particulièrement axées sur Israël et les États-Unis. À mesure que les hostilités entre l'Iran et Israël s'intensifient, il faut prévoir une augmentation des campagnes d'APT42 dans ces pays. Il faut également rester vigilants quant au ciblage des élections américaines. : L'équipe chargée des menaces de Google (Threat Analysis Group)