Le Paradoxe Cybernétique de l’Iran : APT Dégradés, Proxys Montants et Effaceurs de Bootkits
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les activités cyber iraniennes s’éloignent de plus en plus des équipes APT établies pour s’orienter vers des opérateurs proxy utilisant des wipers de type bootkit, exploitant un éventail croissant de CVE, et associant même des opérations cyber avec une perturbation physique de l’infrastructure de cloud. De nouveaux groupes suivis tels que Rusty Boots et MoKhargosh ont démontré une persistance au niveau des bootkits, tandis que HYDRO KITTEN s’est concentré sur les PLC Rockwell et les appareils de réseau en façade internet via des méthodes d’intrusion basées sur les identifiants. Les frappes physiques contre des centres de données cloud dans la région du Golfe élargissent encore le risque dans un domaine hybride cyber-physique. Le rapport souligne l’importance de la validation de l’intégrité du firmware et de la détection basée sur le comportement dans les environnements OT.
Enquête
Le rapport souligne trois évolutions majeures. Premièrement, Rusty Boots et MoKhargosh ont montré la capacité de déployer des wipers avec une persistance de type bootkit. Deuxièmement, HYDRO KITTEN a exploité plusieurs CVE affectant les systèmes Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS et OpenSSH. Troisièmement, UNC6446 a utilisé des malwares en C# et Golang sur mesure, y compris DUSTYPROXY et ERIESNAKE.GO, communiquant via HTTP non chiffré encapsulé sur le port 443. Le rapport fait également référence à des attaques physiques ciblant l’infrastructure cloud à Bahreïn et Dubaï.
Atténuation
Les organisations devraient appliquer les correctifs pour tous les CVE référencés sur les pare-feux, les actifs OT et les services SSH, tout en mettant en œuvre un démarrage sécurisé et des vérifications régulières de l’intégrité du firmware. Les équipes de défense devraient surveiller les activités d’écriture directe sur le disque et les modifications apportées au MBR ou au VBR, bloquer le trafic HTTP non chiffré sur le port 443, examiner les clés Run du registre pour les exécutables inconnus et mettre en œuvre une surveillance comportementale OT pour détecter les changements de consigne de PLC en dehors des périodes de maintenance approuvées.
Réponse
Les défenseurs devraient immédiatement bloquer toutes les adresses IP, domaines et hash de fichiers divulgués sur les contrôles DNS, proxy et endpoint. Le contenu de détection devrait être déployé pour HTTP non chiffré via TCP/443, les échecs d’intégrité de démarrage sécurisé, les nouvelles entrées de clé Run du registre, et le comportement d’authentification suspect des PLC. La chasse aux menaces devrait se concentrer sur les signatures de malwares listés ainsi que sur les signes d’accès prépositionné, y compris les longues périodes d’inactivité suivies d’opérations abruptes liées à l’OT.
graph TB %% Définitions des classes classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% Nœuds techniques technique_valid_accounts[« <b>Technique</b> – T1078 Comptes valides<br/><b>Description</b> : Utilisation d’identifiants volés ou obtenus pour obtenir un accès initial aux réseaux cibles. »] class technique_valid_accounts technique technique_exploit_remote[« <b>Technique</b> – T1210 Exploitation de services distants<br/><b>Description</b> : Exploitation de services vulnérables (ex. CVE-2021-26868, CVE-2024-0012, CVE-2024-5591) pour mouvement latéral et prise de contrôle. »] class technique_exploit_remote technique technique_persistence_registry[« <b>Technique</b> – T1547.001 Clés Run du registre / dossier de démarrage<br/><b>Description</b> : Mise en place de persistance via les clés Run HKCU/HKLM ou le dossier de démarrage. »] class technique_persistence_registry technique technique_c2_external_proxy[« <b>Technique</b> – T1090.002 Proxy externe<br/><b>Description</b> : Acheminement du trafic C2 via des serveurs proxy externes pour masquer l’infrastructure. »] class technique_c2_external_proxy technique technique_c2_web[« <b>Technique</b> – T1071.001 Protocoles Web (HTTP/S)<br/><b>Description</b> : Utilisation de HTTP/S sur TCP/443 pour les communications C2. »] class technique_c2_web technique technique_execution_ps[« <b>Technique</b> – T1059.001 PowerShell<br/><b>Description</b> : Utilisation de PowerShell pour télécharger, manipuler et exécuter des charges utiles. »] class technique_execution_ps technique technique_remote_access[« <b>Technique</b> – T1219 Outils d’accès distant<br/><b>Description</b> : Déploiement de portes dérobées offrant des sessions interactives à distance. »] class technique_remote_access technique technique_credential_exploit[« <b>Technique</b> – T1212 Exploitation d’identifiants<br/><b>Description</b> : Utilisation d’identifiants volés pour authentification directe sur les systèmes. »] class technique_credential_exploit technique technique_impact_preos[« <b>Technique</b> – T1542 Pré-démarrage (Pre-OS)<br/><b>Description</b> : Modification des composants de démarrage pour agir avant le système d’exploitation. »] class technique_impact_preos technique technique_impact_data_destruction[« <b>Technique</b> – T1485 Destruction de données<br/><b>Description</b> : Corruption ou suppression de données critiques. »] class technique_impact_data_destruction technique technique_impact_disk_wipe[« <b>Technique</b> – T1561.001 Effacement de disque<br/><b>Description</b> : Écrasement des secteurs de disque rendant le système inutilisable. »] class technique_impact_disk_wipe technique %% Outils et malwares tool_dustyproxy[« <b>Outil</b> – DUSTYPROXY<br/><b>Description</b> : Client proxy en C# installé via les clés Run du registre ; redirige le trafic vers des proxys externes. »] class tool_dustyproxy tool malware_eriesnake_go[« <b>Malware</b> – ERIESNAKE.GO<br/><b>Description</b> : Backdoor en Go fournissant des sessions interactives, exécutant PowerShell et communiquant via HTTP/443. »] class malware_eriesnake_go malware malware_rusty_boots[« <b>Malware</b> – Rusty Boots<br/><b>Description</b> : Wiper de type bootkit survivant aux réinstallations et corrompant le secteur de démarrage. »] class malware_rusty_boots malware malware_mokhargosh[« <b>Malware</b> – MoKhargosh<br/><b>Description</b> : Wiper basé sur bootkit utilisé pour rendre des systèmes industriels inutilisables. »] class malware_mokhargosh malware %% Flux technique_valid_accounts –>|mène à| technique_exploit_remote technique_exploit_remote –>|permet| technique_persistence_registry technique_persistence_registry –>|utilise| tool_dustyproxy tool_dustyproxy –>|installe| technique_persistence_registry tool_dustyproxy –>|redirige le trafic vers| technique_c2_external_proxy technique_c2_external_proxy –>|communique via| technique_c2_web technique_c2_web –>|facilite| technique_execution_ps technique_execution_ps –>|lance| malware_eriesnake_go malware_eriesnake_go –>|fournit| technique_remote_access technique_remote_access –>|exploite| technique_credential_exploit technique_credential_exploit –>|conduit à| technique_impact_preos technique_impact_preos –>|permet| technique_impact_data_destruction technique_impact_data_destruction –>|cause| technique_impact_disk_wipe technique_impact_preos –>|implémenté par| malware_rusty_boots technique_impact_preos –>|implémenté par| malware_mokhargosh %% Style class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
Flux d’Attaque
Détections
Points de Persistance Possibles [ASEPs – Logiciels/NTUSER Hive] (via événement du registre)
Voir
Enumeration Système Possible (via cmdline)
Voir
Processus Suspect Imitant un Processus Système a Été Exécuté (via cmdline)
Voir
Découverte Possible d’Informations Système Utilisant le Module Powershell Wmi (via powershell)
Voir
IOCs (HashMd5) à détecter : PARADOXE CYBER IRANIEN : APT DÉGRADÉES, PROXIES EMPOWERISÉS, ET L’ÉMERGENCE DES WIPERS BOOTKIT
Voir
IOCs (SourceIP) à détecter : PARADOXE CYBER IRANIEN : APT DÉGRADÉES, PROXIES EMPOWERISÉS, ET L’ÉMERGENCE DES WIPERS BOOTKIT
Voir
IOCs (DestinationIP) à détecter : PARADOXE CYBER IRANIEN : APT DÉGRADÉES, PROXIES EMPOWERISÉS, ET L’ÉMERGENCE DES WIPERS BOOTKIT
Voir
Exploitation HYDRO KITTEN de Rockwell RSLogix 5000 [Pare-feu]
Voir
Détecter le Trafic HTTP Anormal et le Comportement de Relay Proxy Indiquant l’Activité ERIESNAKE.GO et DUSTYPROXY [Proxy]
Voir
Détection de l’Exécution PowerShell ERIESNAKE.GO par des Processus Spécifiques [Windows Powershell]
Voir
Persistance DUSTYPROXY via Clé Run du Registre [Événement de Registre Windows]
Voir
Exécution de Simulation
Prérequis : Le Contrôle Pré-vol de Télémétrie et de Baseline doit être réussi.
Rationalisation : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non pertinents entraîneront un mauvais diagnostic.
-
Narratif de l’Attaque & Commandes :
- Récupération de Crédentiels (T1078) – L’attaquant, ayant compromis un compte de service à faible privilège, obtient les credentials du service “Rockwell” depuis un magasin de credentials non sécurisé.
- Connexion Interactive à Distance (T1078, LogonType 10) – En utilisant ces identifiants, l’attaquant se connecte à la station de gestion du PLC cible via RDP, générant un événement de connexion réussi (EventID 4624, LogonType 10) qui correspond à la règle de
selection1. - Tentative d’Exploitation (T1190 / T1542.003) – Lorsqu’il est connecté, l’attaquant exécute une requête HTTP élaborée contre le service web RSLogix 5000, déclenchant le contournement d’authentification (CVE‑2021‑22681). Le service journalise un événement d’échec d’authentification (EventID 4625) avec une chaîne de raison d’échec contenant “CVE‑2021‑22681”, répondant à la
selection2. - Post‑Exploitation (T1059.001, T1071.001, T1090.002) – Un shell inversé PowerShell est établi par un proxy externe pour télécharger la charge malveillante, mais ces étapes ne sont pas requises pour que la règle se déclenche.
-
Script de Test de Régression : Le script ci-dessous automatise les étapes 2 et 3 pour produire la télémétrie exacte.
# ============================== # Test d'Exploitation Hydro Kitten # ============================== # 1️⃣ Variables – à remplacer par les valeurs de votre environnement $targetHost = "10.0.0.50" # IP du serveur RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Mot de passe connu (ou capturé) $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Établir une session interactive à distance (RDP) en utilisant les identifiants Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Début de la session RDP vers $targetHost avec $rockwellUser..." # Start-Process crée une nouvelle session de connexion – cela génère l'EventID 4624 avec LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Permettre l'enregistrement de la connexion # 3️⃣ Déclencher la tentative de contournement d'authentification CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Envoi de la requête malformée pour déclencher la détection CVE..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Requête d'exploitation envoyée. Vérifier SIEM pour l'EventID 4625 contenant 'CVE-2021-22681'." -
Commandes de Nettoyage : Supprimer la session RDP et tous les artefacts temporaires.
# Terminer le processus client RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Optionnel) Effacer l'historique Powershell pour réduire l'empreinte légale Clear-History