Des pirates informatiques iraniens ont fréquemment attaqué des entités au Moyen-Orient en utilisant un nouveau pilote de noyau Windows, selon un rapport de chercheurs de… Fortinet. A groupe de menace identifié par SentinelOne et connu sous le nom d’Agrius, a utilisé cet outil avancé pour mener des campagnes d’espionnage et obtenir un accès non autorisé à des systèmes ciblés.
Appelé Wintapix par l’équipe de Fortinet. Fortiguard Labs, ce pilote utilise le Donut, un code indépendant de la position qui permet le chargement en mémoire de charges utiles par le biais d’un shellcode, en utilisant le creusement de processus ou le détournement de threads.
Wintapix semble être actif depuis au moins la mi-2020, probablement développé par l’acteur de menace Agrius et principalement utilisé dans des attaques contre des entités en Arabie saoudite, en Jordanie, au Qatar et aux Émirats arabes unis. Microsoft a rapporté séparément que des pirates soutenus par l’État iranien ont rejoint l’attaque en cours ciblant les serveurs de gestion d’impression vulnérables PaperCut MF/NG.
Fortinet indique que le pilote Wintapix a probablement été utilisé dans certaines campagnes majeures en août et septembre 2022 et en février et mars 2023, bien qu’il soit resté sous le radar jusqu’à présent. Les échantillons observés ont des dates de compilation de mai 2020 et juin 2021, mais ont été vus dans la nature bien plus tard.
“Étant donné que les acteurs iraniens de la menace sont connus pour exploiter les serveurs Exchange afin de déployer des logiciels malveillants supplémentaires, il est également possible que ce pilote ait été employé parallèlement à des attaques Exchange. À cet effet, l’heure de compilation des pilotes est également alignée sur les moments où les acteurs de la menace iraniens exploitaient les vulnérabilités des serveurs Exchange”, rapporte Fortinet.
Le pilote du noyau permet aux pirates de contourner les mécanismes de sécurité et d’exécuter du code malveillant, ce qui leur permet de mener diverses activités malveillantes tout en restant indétectés.
Les attaques visent principalement des organisations dans le domaine des télécommunications, des transports, industriels et gouvernementaux secteurs de l’industrie et de l’administration, en soulignant la cybermenaces auxquelles sont confrontées les entités du Moyen-Orient. et la nécessité de mettre en place des mesures de sécurité robustes pour se défendre contre ces attaques sophistiquées.
Fortinet : SentinelOne : Oodaloop : Security Week : Hacker News : HackDojo :
Bleeping Computer : CyberWire :
Tu pourrais aussi lire :
Un groupe de pirates iraniens déploie un logiciel espion personnalisé :
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuellement 5€ par mois ou 50€ par an. S’inscrire
- Comptes multi-utilisateurs, d’entreprise & ; de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
