Skip to main content

PARIS : Une cyberattaque visant le gouvernement irakien d…

Print Friendly, PDF & Email

Partager :

PARIS : Une cyberattaque visant le gouvernement irakien découverte par Check Point

Check Point Research (CPR) a découvert une cyberattaque visant le gouvernement irakien, révélant schéma qui souligne la sophistication et la persistance des cybermenaces liées à des États.

Après avoir examiné des fichiers téléchargés sur Virus Total, CPR a découvert que les logiciels malveillants utilisés dans cette attaque présentaient des similitudes importantes avec ceux utilisés dans d’autres attaques régionales menées par des groupes liés à l’Iran. Ce blog présente l’attaque, les logiciels malveillants impliqués et les liens avec d’autres familles de logiciels malveillants et cyber-groupes malveillants.

Les dessous d’une cyberattaque iranienne contre le gouvernement irakien

https://blog.checkpoint.com/research/the-unraveling-of-an-iranian-cyber-attack-against-the-iraqi-government/

  • Check Point Research a découvert une cyberattaque élaborée contre les réseaux gouvernementaux irakiens.
  • Le programme d’installation utilisé pour déployer les logiciels malveillants portait le logo du secrétariat général irakien du Conseil des ministres, tandis que les domaines des serveurs compromis étaient liés au bureau du Premier ministre irakien et au ministère des affaires étrangères.
  • Le nouveau logiciel malveillant utilisé dans cette attaque présente des similitudes frappantes avec d’autres familles de logiciels malveillants utilisées dans des attaques contre les gouvernements de la Jordanie, du Pakistan et du Liban, qui ont été identifiés comme étant liés au ministère iranien du renseignement et de la sécurité (MOIS).

Check Point Research a récemment découvert une cyberattaque visant le gouvernement irakien, révélant un schéma inquiétant qui souligne la sophistication et la persistance des cybermenaces liées à des États. Après avoir étudié les fichiers téléchargés sur Virus Total, Check Point Research a découvert que les logiciels malveillants utilisés dans cette attaque présentaient d’importantes similitudes avec ceux utilisés dans d’autres attaques régionales menées par des groupes liés à l’Iran. Dans le paysage en constante évolution des menaces de cybersécurité, il est essentiel de comprendre les schémas et les acteurs à l’origine des attaques pour mettre en place une défense mieux adaptée et détecter les menaces de manière proactive. Le programme d’installation utilisé pour déployer le logiciel malveillant Spearal utilise le logo du Secrétariat général irakien du Conseil des ministres. Le blog suivant décortique l’attaque, les logiciels malveillants impliqués et les liens avec d’autres familles de logiciels malveillants et cyber-groupes malveillants.

 Vue d’ensemble de l’attaque

Check Point Research a suivi de près une cyber-attaque contre le gouvernement irakien au cours des derniers mois. Après enquête, Check Point Research a découvert que les fichiers affectés contenaient des logiciels malveillants sophistiqués et visaient des organisations irakiennes telles que le bureau du Premier ministre et le ministère des Affaires étrangères. Nous avons découvert que l’attaque est liée à APT34, un cyber-groupe iranien associé au ministère iranien du renseignement et de la sécurité (MOIS). Ce groupe a déjà utilisé des tactiques similaires contre les gouvernements de la Jordanie et du Liban. Les résultats d’une source pakistanaise indiquent également la présence de familles de logiciels malveillants apparentées, ce qui laisse penser que le même groupe est à l’origine de ces attaques dans la région.

Les logiciels malveillants

Deux nouvelles familles de logiciels malveillants, Veaty et Spearal, ont été utilisées lors de l’attaque, démontrant des capacités avancées et évasives. Ces souches de logiciels malveillants ont été diffusées par le biais de fichiers trompeurs se faisant passer pour des documents anodins, tels que l’assistant d’installation ci-dessous. Grâce à l’ingénierie sociale, ces fichiers ont été ouverts de manière trompeuse et les logiciels malveillants ont été installés sur les systèmes au moment de l’activation, s’intégrant eux-mêmes pour assurer leur persistance après les redémarrages.

Les détails sur la chaîne d’infection en anglais ici et ci-dessous : https://blog.checkpoint.com/research/the-unraveling-of-an-iranian-cyber-attack-against-the-iraqi-government/

Veaty: An Evasive Communicator

Veaty malware employed a sophisticated communication strategy designed to evade detection. It establishes a connection with command-and-control (C2) email servers using several methods, including :

  • Connecting without credentials
  • Utilizing hardcoded credentials
  • Employing external credentials
  • Leveraging trusted network credentials

Veaty methodically attempts each of these approaches until a connection is successfully established. It used specific mailboxes for command and control, organizing and concealing its communications through carefully structured email rules. Here, the rules search for emails containing the subject “Prime Minister’s Office.” The malware transmits “Alive” messages to indicate its ongoing activity and “Command” messages to execute instructions. These messages are meticulously formatted and encrypted to minimize the risk of detection.

In a similar attack, a malware called Karkoff, communicated through compromised email addresses belonging to Lebanese government entities, identical to Veaty, which used compromised mail accounts of Iraqi government entities.

Spearal: A Tactical Complement

Spearal, the malware used in the attack, shares numerous tactics linked to malware families affiliated with the Iranian Ministry of Intelligence and Security such as the malware, Saitama. Notable similarities include using DNS tunneling for command communication

The malware families utilize DNS tunneling to transmit commands, which helps them evade conventional detection mechanisms. This method was also observed in attacks against Jordanian government entities, showing a consistent pattern in the group’s regional focus and operational techniques.

The infection chain of Spearal Backdoor

Emerging Threat: CacheHttp.dll

The investigation has also revealed a new malware variant, CacheHttp.dll, which appears to target the same entities within Iraq. This malware represents an evolution of previous threats, designed to monitor and respond to specific web server activities. CacheHttp.dll examines incoming web requests for particular headers and executes commands based on predefined parameters.

Threat Prevention and Detection

Old, updated, and new malware continues to pose threats to governments, organizations, and businesses alike. The Iranian attack against Iraq demonstrates that malware is only becoming more sophisticated and challenging to detect. Check Point’s security solutions offer a robust defense against advanced malware. Check Point Harmony Endpoint secures devices by detecting and mitigating advanced threats, while Check Point Threat Emulation adds an extra layer by sandboxing suspicious files to identify malicious behavior before impacting the system. The Check Point Intrusion Prevention System (IPS) monitors network traffic in real-time, blocking potential threats. Anti-Bot technology prevents malware from communicating with command-and-control servers. Together, these solutions create a multi-layered defense that effectively prevents malware attacks.

Please view Check Point Research’s full report for a comprehensive review of the attack.

Check Point Protections:

  • Harmony Endpoint
    1. APT.Win.OilRig.F
    1. APT.Win.OilRig.WA.G
    1. APT.Win.OilRig.H
  • Threat Emulation
    1. APT.Wins.Oilrig.ta.B/C/D/E
  • Anti Bot
    1. Backdoor.WIN32.CacheHttp.A/B/C
    1. Backdoor.WIN32.Spearal.A/B/C/D/E/F