SOC Prime Bias: Critical

03 Jun 2026 16:32 UTC

Le Paradoxe Cybernétique de l’Iran : APT Dégradés, Proxys Montants et Effaceurs de Bootkits

Author Photo
SOC Prime Team linkedin icon Suivre
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les activités cyber iraniennes s’éloignent de plus en plus des équipes APT établies pour s’orienter vers des opérateurs proxy utilisant des wipers de type bootkit, exploitant un éventail croissant de CVE, et associant même des opérations cyber avec une perturbation physique de l’infrastructure de cloud. De nouveaux groupes suivis tels que Rusty Boots et MoKhargosh ont démontré une persistance au niveau des bootkits, tandis que HYDRO KITTEN s’est concentré sur les PLC Rockwell et les appareils de réseau en façade internet via des méthodes d’intrusion basées sur les identifiants. Les frappes physiques contre des centres de données cloud dans la région du Golfe élargissent encore le risque dans un domaine hybride cyber-physique. Le rapport souligne l’importance de la validation de l’intégrité du firmware et de la détection basée sur le comportement dans les environnements OT.

Enquête

Le rapport souligne trois évolutions majeures. Premièrement, Rusty Boots et MoKhargosh ont montré la capacité de déployer des wipers avec une persistance de type bootkit. Deuxièmement, HYDRO KITTEN a exploité plusieurs CVE affectant les systèmes Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS et OpenSSH. Troisièmement, UNC6446 a utilisé des malwares en C# et Golang sur mesure, y compris DUSTYPROXY et ERIESNAKE.GO, communiquant via HTTP non chiffré encapsulé sur le port 443. Le rapport fait également référence à des attaques physiques ciblant l’infrastructure cloud à Bahreïn et Dubaï.

Atténuation

Les organisations devraient appliquer les correctifs pour tous les CVE référencés sur les pare-feux, les actifs OT et les services SSH, tout en mettant en œuvre un démarrage sécurisé et des vérifications régulières de l’intégrité du firmware. Les équipes de défense devraient surveiller les activités d’écriture directe sur le disque et les modifications apportées au MBR ou au VBR, bloquer le trafic HTTP non chiffré sur le port 443, examiner les clés Run du registre pour les exécutables inconnus et mettre en œuvre une surveillance comportementale OT pour détecter les changements de consigne de PLC en dehors des périodes de maintenance approuvées.

Réponse

Les défenseurs devraient immédiatement bloquer toutes les adresses IP, domaines et hash de fichiers divulgués sur les contrôles DNS, proxy et endpoint. Le contenu de détection devrait être déployé pour HTTP non chiffré via TCP/443, les échecs d’intégrité de démarrage sécurisé, les nouvelles entrées de clé Run du registre, et le comportement d’authentification suspect des PLC. La chasse aux menaces devrait se concentrer sur les signatures de malwares listés ainsi que sur les signes d’accès prépositionné, y compris les longues périodes d’inactivité suivies d’opérations abruptes liées à l’OT.

Flux d’Attaque

Exécution de Simulation

Prérequis : Le Contrôle Pré-vol de Télémétrie et de Baseline doit être réussi.

Rationalisation : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non pertinents entraîneront un mauvais diagnostic.

  • Narratif de l’Attaque & Commandes :

    1. Récupération de Crédentiels (T1078) – L’attaquant, ayant compromis un compte de service à faible privilège, obtient les credentials du service “Rockwell” depuis un magasin de credentials non sécurisé.
    2. Connexion Interactive à Distance (T1078, LogonType 10) – En utilisant ces identifiants, l’attaquant se connecte à la station de gestion du PLC cible via RDP, générant un événement de connexion réussi (EventID 4624, LogonType 10) qui correspond à la règle de selection1.
    3. Tentative d’Exploitation (T1190 / T1542.003) – Lorsqu’il est connecté, l’attaquant exécute une requête HTTP élaborée contre le service web RSLogix 5000, déclenchant le contournement d’authentification (CVE‑2021‑22681). Le service journalise un événement d’échec d’authentification (EventID 4625) avec une chaîne de raison d’échec contenant “CVE‑2021‑22681”, répondant à la selection2.
    4. Post‑Exploitation (T1059.001, T1071.001, T1090.002) – Un shell inversé PowerShell est établi par un proxy externe pour télécharger la charge malveillante, mais ces étapes ne sont pas requises pour que la règle se déclenche.
  • Script de Test de Régression : Le script ci-dessous automatise les étapes 2 et 3 pour produire la télémétrie exacte.

    # ==============================
    # Test d'Exploitation Hydro Kitten
    # ==============================
    
    # 1️⃣ Variables – à remplacer par les valeurs de votre environnement
    $targetHost   = "10.0.0.50"               # IP du serveur RSLogix
    $rockwellUser = "Rockwell"
    $rockwellPwd  = "P@ssw0rd!"               # Mot de passe connu (ou capturé)
    $proxyUrl     = "http://proxy.example.com:8080"
    
    # 2️⃣ Établir une session interactive à distance (RDP) en utilisant les identifiants Rockwell
    $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force
    $cred   = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd)
    
    Write-Host "[*] Début de la session RDP vers $targetHost avec $rockwellUser..."
    # Start-Process crée une nouvelle session de connexion – cela génère l'EventID 4624 avec LogonType 10
    Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred
    
    Start-Sleep -Seconds 10   # Permettre l'enregistrement de la connexion
    
    # 3️⃣ Déclencher la tentative de contournement d'authentification CVE‑2021‑22681
    $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1"
    
    Write-Host "[*] Envoi de la requête malformée pour déclencher la détection CVE..."
    Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue
    
    Write-Host "[+] Requête d'exploitation envoyée. Vérifier SIEM pour l'EventID 4625 contenant 'CVE-2021-22681'."
  • Commandes de Nettoyage : Supprimer la session RDP et tous les artefacts temporaires.

    # Terminer le processus client RDP
    Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # (Optionnel) Effacer l'historique Powershell pour réduire l'empreinte légale
    Clear-History