APT33
APT33 est un groupe de menace suspecté d'être soutenu par l'État iranien et actif depuis au moins 2013. Il est connu pour cibler les secteurs de l'aérospatiale, de l'énergie et de la défense par le biais du cyber-espionnage et d'opérations potentiellement destructrices.
L'origine de l'APT33
APT33, également connu sous les noms de HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten et Peach Sandstorm, est un groupe de menace iranien parrainé par l'État qui est actif depuis au moins 2013. Le groupe est soupçonné d'être lié au Corps des gardiens de la révolution islamique d'Iran (IRGC) et de soutenir les objectifs stratégiques iraniens en menant des activités de cyberespionnage et éventuellement des opérations destructrices. APT33 est particulièrement connu pour son utilisation du spearphishing, de malware personnalisés et d'outils de sécurité offensifs publics, qui s'appuient souvent sur les technologies Microsoft pour accéder à des environnements cibles.
Pays ciblés par APT33
Les opérations d'APT33 ont principalement visé les États-Unis, l'Arabie saoudite, les Émirats arabes unis et la Corée du Sud. Ces pays sont politiquement et économiquement importants au Moyen-Orient et représentent souvent une opposition à la politique étrangère iranienne. Les cyberactivités peuvent également être conçues pour recueillir des renseignements sur les infrastructures critiques et les avancées technologiques.
Industries ciblées par APT33
APT33 s'est largement concentré sur les organisations des secteurs de l'aérospatiale, de l'énergie, de la défense, de l'ingénierie et de l'industrie. Leur intérêt correspond aux objectifs économiques et militaires de l'Iran, notamment en ce qui concerne les infrastructures pétrolières et gazières et les capacités de défense des adversaires régionaux et des concurrents mondiaux.
Les victimes d'APT33
APT33 a notamment ciblé des entreprises américaines d'ingénierie et d'aérospatiale, des conglomérats pétroliers et énergétiques saoudiens et des entités basées dans les Émirats arabes unis et possédant des infrastructures critiques. Ses opérations comprenaient à la fois du cyberespionnage et la préparation d'attaques destructrices potentielles, telles que celles liées aux campagnes de malware Shamoon, bien que l'attribution à APT33 soit circonstancielle dans certains cas.
Méthode d'attaque d'APT33
APT33 utilise principalement des courriels de spearphishing contenant des liens .hta malveillants, des fichiers malveillants ou des pièces jointes d'archives. Ils ont également compromis des comptes valides, y compris des comptes cloud Office 365, parfois par pulvérisation de mot de passe.
Des exploits comme CVE-2017-0213 ont été utilisés pour une escalade locale. En outre, ils utilisent des informations d'identification administratives valides obtenues via des outils de vidage.
La persistance est assurée par des clés d'exécution du registre, des déploiements dans le dossier de démarrage, des tâches planifiées et des abonnements à des événements WMI. APT33 utilise des charges utiles codées (base64), des canaux C2 cryptés (AES), l'obscurcissement de PowerShell et des cadres de malware personnalisés pour contourner la détection.
La collecte d'informations d'identification est réalisée par des outils tels que LaZagne, Mimikatz et SniffPass, qui ciblent les informations d'identification du navigateur, la mémoire LSASS, les mots de passe GPP et les informations d'identification du domaine mis en cache.
Ils utilisent des scripts et des outils communs pour recenser les systèmes, la topologie du réseau et les privilèges des comptes afin d'effectuer des mouvements latéraux.
Les déplacements entre les systèmes sont facilités par l'utilisation d'identifiants collectés, de protocoles de bureau à distance et d'accès à des comptes valides.
Les fichiers sensibles sont archivés à l'aide d'outils tels que WinRAR et peuvent également inclure des captures d'écran à l'aide d'implants de portes dérobées.
Ils exécutent des charges utiles malveillantes via PowerShell, VBScript, ou en incitant les utilisateurs à lancer des pièces jointes malveillantes. Ils exploitent également des vulnérabilités logicielles telles que CVE-2017-11774 et CVE-2018-20250.
Les données sont exfiltrées via des canaux FTP, HTTP et HTTPS non cryptés, parfois sur des ports non standard (808/880) avec des charges utiles codées.
Principalement axé sur l'espionnage, APT33 a la capacité de mener des opérations destructrices, comme en témoignent les liens avec des comportements similaires à ceux de Shamoon, bien qu'ils n'aient pas été prouvés de manière concluante.
APT33 utilise principalement des courriels de spearphishing contenant des liens .hta malveillants, des fichiers malveillants ou des pièces jointes d'archives. Ils ont également compromis des comptes valides, y compris des comptes cloud Office 365, parfois par pulvérisation de mot de passe.
Des exploits comme CVE-2017-0213 ont été utilisés pour une escalade locale. En outre, ils utilisent des informations d'identification administratives valides obtenues via des outils de vidage.
La persistance est assurée par des clés d'exécution du registre, des déploiements dans le dossier de démarrage, des tâches planifiées et des abonnements à des événements WMI. APT33 utilise des charges utiles codées (base64), des canaux C2 cryptés (AES), l'obscurcissement de PowerShell et des cadres de malware personnalisés pour contourner la détection.
La collecte d'informations d'identification est réalisée par des outils tels que LaZagne, Mimikatz et SniffPass, qui ciblent les informations d'identification du navigateur, la mémoire LSASS, les mots de passe GPP et les informations d'identification du domaine mis en cache.
Ils utilisent des scripts et des outils communs pour recenser les systèmes, la topologie du réseau et les privilèges des comptes afin d'effectuer des mouvements latéraux.
Les déplacements entre les systèmes sont facilités par l'utilisation d'identifiants collectés, de protocoles de bureau à distance et d'accès à des comptes valides.
Les fichiers sensibles sont archivés à l'aide d'outils tels que WinRAR et peuvent également inclure des captures d'écran à l'aide d'implants de portes dérobées.
Ils exécutent des charges utiles malveillantes via PowerShell, VBScript, ou en incitant les utilisateurs à lancer des pièces jointes malveillantes. Ils exploitent également des vulnérabilités logicielles telles que CVE-2017-11774 et CVE-2018-20250.
Les données sont exfiltrées via des canaux FTP, HTTP et HTTPS non cryptés, parfois sur des ports non standard (808/880) avec des charges utiles codées.
Principalement axé sur l'espionnage, APT33 a la capacité de mener des opérations destructrices, comme en témoignent les liens avec des comportements similaires à ceux de Shamoon, bien qu'ils n'aient pas été prouvés de manière concluante.
TTPs utilisées par APT33
Comment détecter APT33 avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Quelle est l'origine d'APT33 ?
APT33 est un groupe de menace suspecté d'être parrainé par l'État iranien et probablement lié au Corps des gardiens de la révolution islamique (IRGC), actif depuis au moins 2013.
Quelles sont les industries ciblées par APT33 ?
Ils se concentrent sur les secteurs de l'aérospatiale, de l'énergie, de la défense, de l'ingénierie et du pétrole/gaz.
Quels sont les pays les plus touchés ?
Les principales cibles sont les États-Unis, l'Arabie saoudite, les Émirats arabes unis et la Corée du Sud.
Comment APT33 obtient-il un accès initial ?
Par le biais d'emails de spearphishing avec des pièces jointes ou des liens malveillants, et de comptes Office 365 compromis par la pulvérisation de mots de passe.
Quels sont les malware ou les outils associés à APT33 ?
Les outils les plus courants sont POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz et SniffPass.
Sont-ils liés à des attaques destructrices ?
Bien que principalement axé sur l'espionnage, APT33 a des liens potentiels avec des opérations destructrices telles que Shamoon, bien que l'attribution reste circonstancielle.
Comment maintiennent-ils la persistance ?
Utilisation de clés de registre, de tâches programmées, d'abonnements à des événements WMI et déploiement de RAT dans les dossiers de démarrage.
Comment les organisations peuvent-elles détecter l'activité d'APT33 ?
La détection nécessite de surveiller les activités PowerShell suspectes, le trafic réseau codé, les abus WMI et les exécutions de scripts programmées. L'utilisation d'outils NDR est conseillée.
Quelles sont les mesures d'atténuation efficaces contre APT33 ?
Utilisez le MFA, désactivez l'exécution des macros, surveillez les modifications de registre non autorisées, limitez l'accès à PowerShell et déployez la segmentation du réseau.
Quel est l'objectif stratégique du groupe ?
APT33 mène des activités d'espionnage pour soutenir les intérêts nationaux de l'Iran, en particulier dans les secteurs de l'énergie et de la défense au Moyen-Orient, avec un potentiel de sabotage si cela s'avère politiquement opportun.