Actus

Les pirates informatiques iraniens ciblent le secteur de l’énergie avec une nouvelle porte dérobée DNS

Par , le 11 juin 2022 - 8 minutes de lecture
Les pirates informatiques iraniens ciblent le secteur de l'énergie avec une nouvelle porte dérobée DNS
Notez l'article

Le groupe de piratage iranien Lycaeum APT utilise une nouvelle porte dérobée DNS basée sur .NET pour mener des attaques contre des entreprises des secteurs de l’énergie et des télécommunications.

Lyceum est un APT soutenu par l’État, également connu sous le nom d’Hexane ou Spilrin, qui ciblait auparavant les fournisseurs de services de communication au Moyen-Orient en utilisant des portes dérobées de tunnel DNS.

Une analyse récente de Zscaler présente une nouvelle porte dérobée DNS basée sur l’outil open source DIG.net pour mener des attaques de “détournement de DNS”, exécuter des commandes, déposer plus de charges utiles et exfiltrer des données.

Le piratage DNS est une attaque de redirection qui s’appuie sur la manipulation des requêtes DNS pour diriger un utilisateur qui tente de visiter un site légitime vers un clone malveillant hébergé sur un serveur sous le contrôle de l’auteur de la menace.

Toutes les informations saisies sur le site Web malveillant, telles que les informations d’identification du compte, seront partagées directement avec l’auteur de la menace.

Commence par un document Word

Commence par un document Word

L’attaque commence par un document Word contenant une macro malveillante téléchargée à partir d’un site Web se faisant passer pour un site d’actualités. Le dossier est masqué comme un reportage sur un sujet d’affaires militaires iraniennes.

Si la cible active les macros sur son Microsoft Office pour afficher le contenu, la porte dérobée DNS sera déposée directement dans le dossier de démarrage pour établir la persistance entre les redémarrages.

Nouvelle porte dérobée DNS

Nouvelle porte dérobée DNS

La porte dérobée utilise le nom de fichier “DnsSystem.exe”, et c’est une version personnalisée de DIG.net, que les adversaires ont ajustée en fonction de leurs besoins.

“Les acteurs de la menace ont un code personnalisé et ajouté qui leur permet d’effectuer des requêtes DNS pour divers enregistrements sur le serveur DNS personnalisé, d’analyser la réponse de la requête pour exécuter des commandes système à distance et de télécharger/télécharger des fichiers depuis le serveur de commande et de contrôle en en tirant parti du protocole DNS.” – Échelle Z

Le logiciel malveillant configure le serveur de piratage DNS en acquérant l’adresse IP du domaine “cyberclub[.]one” et génère un MD5 basé sur le nom d’utilisateur de la victime pour servir d’identifiant de victime unique.

En plus d’effectuer des attaques de piratage DNS, la porte dérobée peut également recevoir des commandes du C2 à exécuter sur la machine compromise. Les réponses ont la forme d’enregistrements TXT.

Ces commandes sont exécutées via l’outil cmd.exe (invite de commande Windows) et la sortie est renvoyée au C2 en tant qu’enregistrement DNS A.

De plus, la porte dérobée peut exfiltrer des fichiers locaux vers le C2 ou télécharger des fichiers à partir d’une ressource distante et supprimer des charges utiles supplémentaires.

Évolution du lycée

Évolution du lycée

Lyceum est un groupe de hackers se concentrant sur le cyberespionnage, et cette nouvelle porte dérobée furtive et puissante est la marque de leur évolution dans le domaine.

Les pirates informatiques iraniens devraient continuer à participer à ces campagnes de collecte d’informations qui impliquent souvent plusieurs groupes de menaces du pays.

Cependant, aussi puissantes que soient ses nouvelles astuces de manipulation DNS, l’infection initiale nécessite toujours l’activation de macros sur la suite Office, une demande qui doit toujours être traitée avec une suspicion ultime.

Kevin Mitnick est le pirate informatique le plus célèbre au monde, l’auteur à succès et le meilleur conférencier sur la cybersécurité. Autrefois l’un des plus recherchés du FBI parce qu’il a piraté 40 grandes entreprises juste pour le défi, Mitnick est maintenant un consultant en sécurité de confiance pour le Fortune 500 et les gouvernements du monde entier.

Mon compte Google est-il sécurisé ?

Mon compte Google est-il sécurisé ?

La bonne nouvelle est que Google prend la sécurité en ligne aussi au sérieux que vous (devriez) le faire. Le géant de la technologie propose une variété de mesures de protection et de sécurité des comptes conçues pour empêcher les visiteurs indésirables d’entrer tout en vous permettant de vous connecter facilement.

Comment puis-je trouver mes paramètres de confidentialité Google ? Choisissez vos paramètres de confidentialité

  • Sur votre ordinateur, ouvrez Chrome.
  • En haut à droite, cliquez sur Plus. Réglages.
  • Cliquez sur Confidentialité et sécurité.
  • Choisissez les paramètres à désactiver. Pour contrôler la manière dont Chrome gère le contenu et les autorisations d’un site, cliquez sur Paramètres du site.

Comment savoir si mon compte Google est sécurisé ?

Accédez à votre compte Google. Dans le panneau de navigation de gauche, sélectionnez Sécurité . Dans le panneau Vos appareils, sélectionnez Gérer tous les appareils. Vous verrez les appareils sur lesquels vous êtes actuellement connecté à votre compte Google ou sur lesquels vous l’avez été au cours des dernières semaines.

Qui est le hacker légendaire dans le monde ?

Qui est le hacker légendaire dans le monde ?

Kevin Mitnick En 1989, il a piraté le réseau de Digital Equipment Corporation (DEC) et a fait des copies de leur logiciel. Parce que DEC était un fabricant d’ordinateurs de premier plan à l’époque, cet acte a mis Mitnick sur la carte.

Dans quel pays les hackers sont-ils le plus nombreux ? 1. Chine. De loin, la Chine abrite le plus grand nombre de pirates informatiques sur Terre. Au cours du dernier trimestre de 2012, le pays le plus peuplé du monde représentait 41 % du trafic mondial de piratage.

Quel pays a créé les hackers ?

​20132016​2019
1. Chine – Environ 41,4 %1. Chine – 27,24 %1. Chine
2. États-Unis – 10 %2. États-Unis – 17,12 %2. Brésil
​3. Turquie – 4,8 %​3. Turquie – 10,24%​3. Russie
​4. Russie – 4,4%​4. Brésil – 8,6 %​4. Pologne

Qui est le hacker n°2 au monde ?

2. Jonathan James. L’histoire de Jonathan James, connu sous le nom de “camarade”, est tragique. Il a commencé à pirater à un jeune âge, réussissant à pirater plusieurs réseaux commerciaux et gouvernementaux et à être envoyé en prison pour cela, tout cela alors qu’il était encore mineur.

Qui est le hacker n°3 au monde ?

Qui est le 1er hacker ?

Le premier piratage majeur a eu lieu en 1971, par un vétérinaire vietnamien nommé John Draper. Il a trouvé un moyen de passer des appels téléphoniques gratuits.

Qui est le No one hacker in the world ?

Kevin Mitnick est l’autorité mondiale en matière de formation sur le piratage informatique, l’ingénierie sociale et la sensibilisation à la sécurité. En fait, la suite de formation informatisée de sensibilisation à la sécurité des utilisateurs finaux la plus utilisée au monde porte son nom. Les présentations principales de Kevin sont en partie un spectacle de magie, une partie en éducation et toutes en partie divertissantes.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.