Détection d’attaque Earth Simnavaz (alias APT34) : Les hackers iraniens exploitent une vulnérabilité du noyau Windows pour cibler les Émirats arabes unis et la région du Golfe
Table des matières :
Au milieu d’un pic d’efforts de cyber-espionnage par des groupes APT nord-coréens ciblant l’Asie du Sud-Est sous la campagne SHROUDED#SLEEP, les experts en cybersécurité tirent la sonnette d’alarme quant à une vague parallèle d’attaques orchestrées par des hackers affiliés à l’Iran. Cette campagne récemment découverte se concentre sur l’espionnage des organisations dans les Émirats arabes unis et les régions du Golfe. Connu sous le nom de Earth Simnavaz APT (également appelé APT34 ou OilRig), ce groupe déploie des portes dérobées avancées pour abuser des serveurs Microsoft Exchange et voler des identifiants de connexion. De plus, ils exploitent une nouvelle vulnérabilité critique du noyau Windows (CVE-2024-30088) pour l’escalade de privilèges, renforçant davantage leur capacité à infiltrer les systèmes de manière indétectable.
Détecter les attaques Earth Simnavaz (alias APT34)
En 2024, les groupes APT de diverses régions du monde, comme la Chine, la Corée du Nord, l’Iran et la Russie, ont montré une augmentation marquée des capacités offensives dynamiques et innovantes, créant des défis substantiels pour le paysage mondial de la cybersécurité. Pour détecter une activité malveillante potentielle à ses débuts, les défenseurs cyber peuvent s’appuyer sur la plateforme SOC Prime pour la défense collective cyber fournissant la plus grande bibliothèque mondiale de règles de détection et de renseignements exploitables sur les menaces.
Appuyez sur le bouton Explore Detections ci-dessous pour explorer un ensemble de règles Sigma adresser la campagne la plus récente d’Earth Simnavaz contre les Émirats arabes unis et les régions du Golfe. Les règles sont compatibles avec 30+ solutions SIEM, EDR, et Data Lake et sont mappées au cadre MITRE ATT&CK® pour faciliter l’enquête sur les menaces. De plus, les détections sont enrichies de métadonnées étendues, incluant des CTI références, des chronologies d’attaque, des recommandations de triage & d’audit, et plus encore.
En outre, pour analyser rétrospectivement les activités d’Earth Simnavaz (APT34) et se tenir au courant des TTPs évolutifs du groupe, les défenseurs cyber peuvent accéder à un ensemble plus large de règles de détection. Parcourez le Marché de Détection des Menaces en utilisant le tag « APT34 » ou utilisez le lien suivant pour explorer directement la collection de règles APT34 .
Analyse d’attaque Earth Simnavaz alias APT34
Le groupe de hackers soutenu par la nation iranienne suivi sous le nom d’Earth Simnavaz alias APT34 et OilRig a été observé exploitant CVE-2024-30088, une vulnérabilité d’élévation de privilèges du noyau Windows précédemment corrigée lors d’une opération de cyber-espionnage contre les Émirats arabes unis et la région plus large du Golfe. Trend Micro a mené des recherches sur les dernières activités d’Earth Simnavaz, révélant de nouveaux détails sur l’évolution de l’arsenal offensif du groupe et la menace pressante qu’il présente pour les organisations d’infrastructures critiques aux Émirats arabes unis. Selon les chercheurs, les cyber-attaques liées au groupe APT34 ont significativement augmenté, se concentrant sur les secteurs gouvernementaux au Moyen-Orient.
Dans les dernières attaques, Earth Simnavaz utilise une nouvelle porte dérobée avancée, qui cible les serveurs on-premises Microsoft Exchange pour voler des identifiants sensibles, y compris des comptes et mots de passe. Le groupe continue également d’exploiter la DLL de la politique de filtrage des mots de passe abandonnée, leur permettant d’extraire les mots de passe en clair, mettant en évidence leurs tactiques évolutives et les menaces persistantes pour les organisations.
La boîte à outils des adversaires en progression implique également le groupe expérimentant avec l’outil RMM ngrok, permettant aux attaquants de canaliser le trafic et de maintenir le contrôle des systèmes compromis. De plus, Earth Simnavaz utilise un mélange d’outils .NET personnalisés, de scripts PowerShell et de logiciels malveillants basés sur IIS pour dissimuler leurs activités dans le trafic réseau habituel, évitant ainsi les méthodes de détection traditionnelles.
Au stade initial de l’attaque, les adversaires arment un serveur web vulnérable pour déployer une web shell, suivis de l’utilisation de l’utilitaire ngrok pour maintenir une persistance et se déplacer latéralement au sein du réseau. Ensuite, les attaquants profitent de la faille d’escalade de privilèges, CVE-2024-30088, pour délivrer la porte dérobée STEALHOOK, qui exfiltre les données volées via le serveur Exchange en tant que pièces jointes envoyées à une adresse contrôlée par l’attaquant.
Alors qu’APT34 augmente son focus sur le Moyen-Orient, ciblant spécifiquement les secteurs gouvernementaux de la région du Golfe pour le cyber-espionnage et le vol de données, le renforcement des défenses contre les menaces émergentes du groupe est crucial pour les organisations à risque. Comptez sur la suite complète de produits SOC Prime pour l’ingénierie de détection propulsée par l’IA, la chasse automatisée aux menaces et la détection avancée des menaces pour pérenniser la posture de cybersécurité de votre organisation tout en optimisant l’efficacité des ressources.
