Techniques d'accès initial utilisées par les acteurs malveillants basés en Iran

Les groupes malveillants liés à l'Iran utilisent souvent un ensemble de base de méthodes d'accès initial. Les acteurs malveillants privilégient des techniques d'intrusion rentables et reproductibles qui impliquent l'ingénierie sociale, l'exploitation rapide des vulnérabilités publiques et l'utilisation d'identifiants compromis pour infiltrer les systèmes. Pour mettre en place des mesures de défense efficaces, les organisations doivent renforcer la sécurité de l'identité, du courrier électronique et du périmètre en mettant en œuvre une authentification multifacteur résistante au phishing, en corrigeant rapidement les systèmes exposés, en surveillant l'utilisation inhabituelle de l'authentification et de la gestion à distance et en minimisant les risques liés aux identifiants faibles ou par défaut dans les environnements IT et opérationnels.

Cet aperçu s’appuie sur les observations de la CTU (Counter Threat Unit™) sur la manière dont différents groupes et opérations ont utilisé les techniques d’accès initial depuis 2020. Les groupes malveillants utilisent toutes les méthodes disponibles pour compromettre une cible, mais voici leurs approches privilégiées qui sous-tendent des campagnes d'intrusion de grande envergure.

Phishing (T1566)

Le phishing reste le vecteur d’accès initial le plus courant, reposant sur une ingénierie sociale bien conçue pour obtenir des identifiants ou déclencher la diffusion de malwares. Cette catégorie comprend les variantes suivantes : 

• T1566.001 - Spearphishing Attachment : Distribution de documents PDF/Office contenant des liens malveillants intégrés ou menant à l'installation d'outils de contrôle à distance. 
• T1566.002 - Spearphishing Link : Emails redirigeant les destinataires vers des pages de collecte d'identifiants hébergées sur des services Cloud courants. 
• T1566.003 - Spearphishing via Service : Ingénierie sociale menée via des plateformes tierces telles que LinkedIn, les services de messagerie web et les fournisseurs de documents hébergés dans le Cloud. 

Principaux comportements des groupes malveillants iraniens 

• Utilisation d'échanges en plusieurs étapes pour établir des relations. 
• Usurpation d'identité d'organisations ou de professionnels légitimes. 
• Hébergement de charges virales ou de pièges à login sur des services Cloud de confiance (OneDrive, Google Drive, Onehub, Egnyte, Mega). 

Exploitation of public-facing applications (T1190) 

Les acteurs malveillants exploitent fréquemment les vulnérabilités nouvellement divulguées ou non corrigées des systèmes périmétriques pour obtenir un accès initial. Parmi les exemples les plus connus, on peut citer les vulnérabilités de Fortinet FortiOS, Microsoft Exchange ProxyShell et VMware Horizon/Log4Shell : 

• CVE-2018-13379 : Vulnérabilité Fortinet FortiOS (traversée de répertoires/path traversal dans un VPN SSL).
• CVE-2019-5591 : Vulnérabilité de Fortinet FortiOS (interception d'informations sensibles).
• CVE-2020-12812 : Vulnérabilité du VPN SSL FortiOS de Fortinet (contournement de l'authentification).
• CVE-2021-34473 : Vulnérabilité d'usurpation dans Microsoft Exchange Server
• CVE-2021-26855 : Vulnérabilité d'usurpation dans Microsoft Exchange Server 
• CVE-2021-26857 : Vulnérabilité d'usurpation dans Microsoft Exchange Server
• CVE-2021-26858 : Vulnérabilité d'usurpation dans Microsoft Exchange Server
• CVE-2021-27065 : Vulnérabilité d'usurpation dans Microsoft Exchange Server
• CVE-2021-44228 : Vulnérabilité de Log4Shell dans VMware Horizon

De manière générale, il est recommandé aux organisations de donner la priorité à la correction des vulnérabilités répertoriées dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA (Cybersecurity and Infrastructure Security Agency) américaine.

Principaux comportements des groupes malveillants iraniens 

• Adoption rapide du code d'exploit public. 
• Déploiement de web shells pour un accès persistant. 
• Utilisation de ces accès initiaux pour s'implanter plus profondément dans les réseaux internes.

Password-based initial access (T1110.003, T1078.004) 

Les campagnes de type password-spraying à grande échelle ciblent les plateformes d'identité Cloud (par exemple, Microsoft 365 / Entra ID). L'authentification réussie donne un accès direct aux emails, aux fichiers et aux charges de travail des utilisateurs.

• T1110.003 - Password Spraying : Tentatives d'authentification à grand volume utilisant des mots de passe courants ou faibles. 
• T1078.004 - Valid Accounts : Comptes Cloud : Utilisation d'identifiants compromis avec succès pour accéder à des services Cloud et effectuer des actions ultérieures. 

Principaux comportements des groupes malveillants iraniens 

• Tentatives persistantes sur des milliers de domaines locataires/tenants. 
• Déclenchement d’actions de détection et de persistance immédiatement après l'accès aux comptes. 

Remote monitoring and management (RMM) tool abuse (T1219)

Une tactique récurrente consiste à utiliser des emails de phishing qui mènent à l'installation d'agents RMM légitimes tels que ScreenConnect, Atera, PDQ, Action1, Syncro, Level, SimpleHelp, Remote Utilities, eHorus et N-Able. Ces agents permettent immédiatement l'exécution de commandes à distance sans nécessiter de malware. 

• T1219.002 - Remote Desktop Software : Outils d'accès à distance utilisés pour « command & control ».

Principaux comportements des groupes malveillants iraniens 

• Utilisation abusive de licences d'essai ou de comptes de messagerie compromis pour l'enregistrement RMM. 
• Scripting à distance et extraction des identifiants via la console RMM. 

Use of external remote services (T1133) 

Après un vol d'identifiants ou une compromission périmétrique, les acteurs malveillants se connectent via des canaux d'accès à distance légitimes : 

• Portails VPN 
• Endpoints RDP 
• Interfaces d'accès à distance basées dans le Cloud

Principaux comportements des groupes malveillants iraniens 

• Utilisation d'identifiants compromis plutôt que de malwares. 
• Se fondre dans les schémas d'accès administratif légitimes. 

Exploitation of default or weak credentials (T1078.001, T1078.003) 

Certaines intrusions commencent par l'accès à des appareils, notamment des systèmes ICS ou OT, qui utilisent encore des identifiants par défaut ou facilement devinables. En 2023, Cyber Av3ngers, utilisant des identifiants par défaut et faibles, a mené des cyberattaques à motivation politique en exploitant des automates programmables Unitronics exposés pour perturber les systèmes de contrôle de l'eau et d'autres systèmes industriels, notamment une autorité municipale américaine de gestion de l’eau, tout en diffusant des messages anti-israéliens.

• T1078.001 - Valid Accounts : Comptes par défaut 
• T1078.003 - Valid Accounts : Comptes locaux 

Principaux comportements des groupes malveillants iraniens 

• Exposition des systèmes opérationnels connectés à Internet. 
• Pivot rapide vers un défacement, une reconnaissance ou une perturbation. 

Conclusion

Bien que les acteurs malveillants basés en Iran profitent de toute vulnérabilité ou opportunité pour compromettre les systèmes ciblés, l'analyse par la CTU™ de nombreuses attaques a révélé une préférence pour certaines techniques. Le tableau 1 répertorie les techniques et les identifiants MITRE ATT&CK® associés abordés dans ce rapport. Pour plus d'informations sur les cybermenaces publiées par des acteurs malveillants soutenus par l'État iranien, la CISA a publié de nombreux avis et avertissements.

Tableau 1 : Techniques utilisées par les acteurs malveillants basés en Iran.

Billet inspiré de Initial access techniques used by Iran-based threat actors, sur le Blog Sophos.