L’quipe charge des menaces de Google (Threat Analysis Group) confirme que l’Iran cible les tats-Unis et Isral, avec des courriels d’hameonnage, des malwares et des redirections malveillantes. Au cours des six derniers mois, les tats-Unis et Isral ont reprsent environ 60 % des cibles gographiques connues d’APT42, y compris d’anciens hauts responsables militaires israliens et des personnes affilies aux deux campagnes prsidentielles amricaines.
Des documents internes la campagne du candidat llection prsidentielle amricaine, Donald Trump, ont fait lobjet de divulgation publique. L’quipe de campagne de Donald Trump a dclar que des pirates informatiques trangers se sont introduits dans ses systmes et ont eu accs des communications internes, dans le but « d’interfrer avec l’lection de 2024 et de semer le chaos« . La dclaration de l’quipe de campagne de Donald Trump laisse entendre que des pirates iraniens sont l’origine du piratage.
Mais de multiples voix se sont lev pour indiquer que ces dclarations sont prendre avec des pincettes. « Il y a huit ans, Trump a demand la Russie de pirater les courriels d’Hillary Clinton. Aujourd’hui, il affirme que sa campagne a t pirate par des Iraniens. Il pourrait s’agir d’un karma. Il pourrait s’agir d’un autre mensonge de Trump« , selon des commentaires.
Rcemment, l’quipe charge des menaces de Google (Threat Analysis Group ou TAG) a confirm que l’Iran ciblait les campagnes de Trump, Biden et Harris pour les lections amricaines. Le groupe d’analyse des menaces de Google a confirm avoir observ un acteur de la menace soutenu par le gouvernement iranien (dnomm APT42) ciblant les comptes Google associs aux campagnes prsidentielles amricaines, en plus d’une intensification des attaques contre des cibles israliennes.
Le TAG de Google ajoute qu’il a rinitialis des comptes, envoy des avertissements aux utilisateurs et mis sur liste noire des domaines associs aux tentatives d’hameonnage d’APT42.
APT42, associ au Corps des gardiens de la rvolution islamique d’Iran, « cible rgulirement des utilisateurs de premier plan en Isral et aux tats-Unis« , dclare le Threat Analysis Group (TAG). Le groupe iranien utilise des logiciels malveillants hbergs, des pages d’hameonnage, des redirections malveillantes et d’autres tactiques pour accder aux comptes Google, Dropbox, OneDrive et autres comptes bass sur le cloud.
Parmi les outils d’APT42 figuraient des pages Google Sites qui semblaient tre une ptition manant d’activistes juifs lgitimes, demandant Isral de jouer un rle de mdiateur dans le conflit qui l’oppose au Hamas. La page tait cre partir de fichiers images, et non HTML, et une redirection renvoyait les utilisateurs vers des pages de phishing lorsqu’ils signaient la ptition.
Aux tats-Unis, le TAG de Google note que, comme pour les lections de 2020, APT42 cible activement les courriels personnels d’ « environ une douzaine de personnes affilies au prsident Biden et l’ancien prsident Trump« . Le TAG confirme qu’APT42 « a russi accder au compte Gmail personnel d’un consultant politique de premier plan« , qui pourrait tre l’agent rpublicain de longue date Roger Stone, selon plusieurs rapports. Microsoft a indiqu sparment qu’un « ancien conseiller principal » de la campagne Trump avait vu son compte Microsoft compromis, ce que Stone a galement confirm.
Voici les dtails du rapport de l’quipe charge des menaces de Google (TAG) :
Rapport du TAG : des acteurs de la menace de l’Iran ciblent les tats-Unis et Isral
Le groupe d’analyse des menaces (TAG) de Google vient de partager des informations sur APT42, un acteur de la menace soutenu par le gouvernement iranien, et sur ses campagnes de phishing cibles contre Isral et des cibles israliennes. Le rapport du TAG confirme galement les rcents rapports concernant le ciblage par APT42 de comptes associs l’lection prsidentielle amricaine.
Associ au Corps des gardiens de la rvolution islamique d’Iran (IRGC), APT42 cible rgulirement des utilisateurs de premier plan en Isral et aux tats-Unis, notamment d’anciens et d’actuels responsables gouvernementaux, des campagnes politiques, des diplomates, des personnes travaillant dans des groupes de rflexion, ainsi que des ONG et des tablissements universitaires qui contribuent aux discussions sur la politique trangre.
Au cours des six derniers mois, les tats-Unis et Isral ont reprsent environ 60 % des cibles gographiques connues d’APT42, y compris d’anciens hauts responsables militaires israliens et des personnes affilies aux deux campagnes prsidentielles amricaines. Ces activits tmoignent des efforts agressifs et multidimensionnels dploys par le groupe pour modifier rapidement son orientation oprationnelle afin de soutenir les priorits politiques et militaires de l’Iran.
Pics de ciblage d’APT42 contre Isral
En avril 2024, APT42 a intensifi son ciblage des utilisateurs bass en Isral. Il a recherch des personnes ayant des liens avec l’arme isralienne et le secteur de la dfense, ainsi que des diplomates, des universitaires et des ONG.
APT42 utilise une varit de tactiques diffrentes dans le cadre de ses campagnes d’hameonnage par courriel : y compris l’hbergement de logiciels malveillants, de pages d’hameonnage et de redirections malveillantes. Ils essaient gnralement d’abuser de services tels que Google (Sites, Drive, Gmail et autres), Dropbox, OneDrive et autres ces fins.
Pour perturber APT42, le TAG a rinitialis tous les comptes compromis, envoy des avertissements d’attaquants soutenus par le gouvernement aux utilisateurs cibls, mis jour les dtections, perturb les pages Google Sites malveillantes et ajout des domaines et URL malveillants la liste de blocage Safe Browsing – dmantelant ainsi l’infrastructure du groupe.
- Hameonnage sur Google Sites : Le TAG annonce avoir supprim plusieurs pages Google Sites cres par APT42 qui se faisaient passer pour une ptition de l’Agence juive lgitime pour Isral appelant le gouvernement isralien entamer une mdiation pour mettre fin au conflit.
Le texte de la ptition tait intgr dans des fichiers images au lieu de HTML. La page Sites comprenait une URL de redirection ngrok, un service gratuit pour les dveloppeurs qu’APT42 a dj utilis pour rediriger les utilisateurs vers des pages d’hameonnage.
- Cibler les militaires, la dfense, les diplomates, les universitaires et la socit civile : selon le TAG, APT42 a tent d’utiliser l’ingnierie sociale pour cibler d’anciens hauts responsables de l’arme isralienne et un cadre de l’arospatiale en envoyant des courriels se faisant passer pour un journaliste demandant des commentaires sur les rcentes frappes ariennes. Ils ont galement envoy des courriels d’ingnierie sociale des diplomates israliens, des universitaires, des ONG et des entits politiques.
Les courriels ont t envoys partir de comptes hbergs par divers fournisseurs de services de messagerie et ne contenaient pas de contenu malveillant. Ces courriels taient probablement destins susciter l’engagement des destinataires avant qu’APT42 ne tente de compromettre les cibles. Google a suspendu les comptes Gmail associs APT42.
Une campagne mene en juin 2024 auprs d’ONG israliennes a utilis une pice jointe PDF bnigne usurpant l’identit du Project Aladdin, qui contenait un lien URL raccourci redirigeant vers une page d’atterrissage d’un kit d’hameonnage conu pour recueillir les identifiants de connexion Google.
- Hameonnage cibl d’informations d’identification : le succs d’APT42 en matire d’hameonnage d’informations d’identification est le rsultat d’une persvrance et d’un recours massif l’ingnierie sociale pour paratre plus crdible aux yeux de ses cibles. Ils crent rgulirement des comptes ou des domaines qui usurpent l’identit d’organisations susceptibles d’intresser la cible. Par exemple :
- APT42 s’est fait passer pour le lgitime Washington Institute for Near East Policy dans de multiples campagnes depuis avril 2024, ciblant des diplomates et des journalistes israliens, des chercheurs de groupes de rflexion amricains et d’autres personnes. Dans ces campagnes, les attaquants ont dfini le nom d’affichage de l’email comme tant celui d’un chercheur lgitime affili l’Institut de Washington, mais l’adresse email sous-jacente ne provenait pas du domaine officiel .org.
- APT42 enregistre des domaines typosquat trs proches des domaines lgitimes des organisations dont ils usurpent l’identit. Par exemple, APT42 a utilis le domaine understandingthewar[.]org pour cibler des membres de l’arme amricaine en se faisant passer pour l’Institut pour l’tude de la guerre. De mme, APT42 a enregistr brookings[.]email pour usurper l’identit de la Brookings Institution et l’a utilis dans de multiples campagnes visant Isral.
Ciblage de personnes en rapport avec l’lection prsidentielle amricaine
Selon des rapports antrieurs, Google s’efforce d’identifier et de perturber les activits malveillantes dans le contexte des lections dmocratiques. Par exemple, au cours du cycle des lections prsidentielles amricaines de 2020, ils ont perturb les tentatives d’APT42 visant cibler des comptes associs aux campagnes prsidentielles de Biden et de Trump.
Au cours du cycle actuel des lections prsidentielles amricaines, le TAG a dtect et perturb une cadence faible mais rgulire de l’activit d’hameonnage d’informations d’identification du groupe C d’APT42. En mai et juin, les cibles d’APT42 comprenaient les comptes de messagerie personnels d’une douzaine de personnes affilies au prsident Biden et l’ancien prsident Trump, y compris des fonctionnaires actuels et anciens du gouvernement amricain et des personnes associes aux campagnes respectives. Le TAG affirme avoir bloqu de nombreuses tentatives d’APT42 de se connecter aux comptes de messagerie personnels des personnes cibles.
Des rapports publics rcents montrent qu’APT42 a russi pntrer dans des comptes de plusieurs fournisseurs de messagerie. Les travaux du TAG ont confirm que le groupe avait russi accder au compte Gmail personnel d’un consultant politique de premier plan. En plus des actions habituelles consistant scuriser rapidement tout compte compromis et envoyer aux comptes cibls des avertissements aux attaquants soutenus par le gouvernement, le TAG a galement transmis cette activit malveillante aux forces de l’ordre dbut juillet et continue cooprer avec elles.
Dans le mme temps, ils ont galement inform les responsables de la campagne que Google constatait une augmentation des activits malveillantes provenant d’acteurs tatiques trangers et soulign l’importance de renforcer les protections de scurit des comptes de courrier lectronique personnels. Le TAG poursuit son observation des tentatives infructueuses d’APT42 pour compromettre les comptes personnels de personnes affilies au prsident Biden, la vice-prsidente Harris et l’ancien prsident Trump, y compris des fonctionnaires actuels et anciens et des personnes associes aux campagnes.
Comprendre l’hameonnage d’informations d’identification sur mesure d’APT42
Dans les campagnes de phishing que TAG a perturbes, APT42 utilise souvent des tactiques telles que l’envoi de liens de phishing soit directement dans le corps du courriel, soit sous la forme d’un lien dans une pice jointe PDF par ailleurs inoffensive. Dans ces cas-l, APT42 attire la cible avec un leurre d’ingnierie sociale pour organiser une runion vido, puis envoie un lien vers une page d’atterrissage o la cible est invite se connecter et envoye vers une page d’hameonnage.
Une campagne comportait un leurre de phishing avec un lien Google Sites contrl par l’attaquant qui dirigeait la cible vers une fausse page d’atterrissage Google Meet. D’autres leurres concernaient OneDrive, Dropbox et Skype. Au cours des six derniers mois, le TAG A systmatiquement perturb la capacit de ces attaquants abuser de Google Sites dans plus de 50 campagnes similaires.
Un autre modle de campagne d’APT42 consiste envoyer des pices jointes PDF lgitimes dans le cadre d’un leurre d’ingnierie sociale afin d’instaurer la confiance et d’encourager la cible s’engager sur d’autres plateformes telles que Signal, Telegram ou WhatsApp. Le TAG prvoit que les attaquants utiliseront ensuite ces plateformes pour envoyer un kit d’hameonnage afin de collecter des informations d’identification.
APT42 dispose d’un certain nombre de kits d’hameonnage qui ciblent diverses pages de connexion, notamment :
- GCollection/LCollection/YCollection : un outil sophistiqu de collecte d’informations d’identification observ par TAG, capable de collecter les informations d’identification des utilisateurs de Google, Hotmail et Yahoo respectivement. Ce kit a connu une volution constante depuis qu’il a t observ pour la premire fois par APT42 en janvier 2023. La version actuelle met en uvre un flux transparent qui prend en charge l’authentification multifactorielle, les codes PIN des appareils et les codes de rcupration usage unique sur les trois plateformes. Une srie d’URL de pages d’atterrissage est incluse dans les indicateurs de compromission.
- DWP : un kit d’hameonnage l’intrieur du navigateur, souvent diffus via un raccourcisseur d’URL, moins complet que GCollection.
Ce spear phishing s’appuie sur la reconnaissance, en utilisant des outils de marketing open-source et de recherche sur les mdias sociaux pour identifier les adresses lectroniques personnelles qui pourraient ne pas avoir d’authentification multifactorielle par dfaut ou d’autres mesures de protection que l’on voit gnralement sur les comptes d’entreprise.
APT42 a galement dvelopp une forte comprhension des fournisseurs de messagerie qu’ils ciblent, recherchant souvent les paramtres de scurit des comptes qu’ils ciblent en utilisant des flux de travail de connexion ou de rcupration chous pour dterminer le deuxime facteur d’authentification configur afin de mieux cibler leurs tentatives de phishing initiales.
Par exemple, dans certains cas, ils ont identifi qu’un compte tait configur pour utiliser des invites de priphriques comme second facteur accept et ont ajout leur support dans leur kit d’hameonnage GCollection. APT42 combine ensuite cette approche avec la connaissance de l’emplacement gographique actuel de la cible, base sur des recherches publiques ou sur l’ingnierie sociale. Par consquent, les tentatives de connexion et de rcupration d’APT42 proviennent souvent du bon emplacement gographique, avec les bonnes informations d’identification et le bon deuxime facteur d’authentification de l’utilisateur.
Une fois qu’APT42 a accd un compte, il ajoute souvent des mcanismes d’accs supplmentaires, notamment en modifiant les adresses lectroniques de rcupration et en utilisant des fonctions qui permettent d’utiliser des applications qui ne prennent pas en charge l’authentification multifactorielle, comme les mots de passe spcifiques une application dans Gmail et les mots de passe d’applications tierces dans Yahoo. Le programme de protection avance de Google rvoque et dsactive ces mots de passe spcifiques aux applications dans Gmail, protgeant ainsi les utilisateurs de cette tactique.
Conclusion
APT42 est un acteur sophistiqu et persistant qui ne montre aucun signe d’arrt dans ses tentatives de cibler les utilisateurs et de dployer de nouvelles tactiques. Ce printemps et cet t, il a dmontr sa capacit mener de nombreuses campagnes d’hameonnage simultanes, particulirement axes sur Isral et les tats-Unis. mesure que les hostilits entre l’Iran et Isral s’intensifient, il faut prvoir une augmentation des campagnes d’APT42 dans ces pays. Il faut galement rester vigilants quant au ciblage des lections amricaines. Le TAG encourage toutes les personnes haut risque, y compris les lus, les candidats, les travailleurs de campagne, les journalistes, les travailleurs lectoraux, les fonctionnaires et autres, de renforcer les protections contre de telles tactiques.
Source : L’quipe charge des menaces de Google (Threat Analysis Group)
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :