APT33

APT33 est un groupe de menace suspecté d'être soutenu par l'État iranien et actif depuis au moins 2013. Il est connu pour cibler les secteurs de l'aérospatiale, de l'énergie et de la défense par le biais du cyber-espionnage et d'opérations potentiellement destructrices.

Votre organisation est-elle à l'abri des attaques d'APT33 ?

L'origine de l'APT33

PT33, également connu sous les noms de HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten et Peach Sandstorm, est un groupe de menace iranien soutenu par l'État qui est actif depuis au moins 2013. Le groupe est soupçonné d'être lié au Corps des gardiens de la révolution islamique d'Iran (IRGC) et de soutenir les objectifs stratégiques iraniens en menant des activités de cyberespionnage et éventuellement des opérations destructrices. APT33 est particulièrement connu pour son utilisation du spearphishing, de malware personnalisés et d'outils de sécurité offensifs publics, qui s'appuient souvent sur les technologies Microsoft pour accéder à des environnements cibles.

Pays ciblés par APT33

Les opérations d'APT33 ont principalement visé les États-Unis, l'Arabie saoudite, les Émirats arabes unis et la Corée du Sud. Ces pays sont politiquement et économiquement importants au Moyen-Orient et représentent souvent une opposition à la politique étrangère iranienne. Les cyberactivités peuvent également être conçues pour recueillir des renseignements sur les infrastructures critiques et les avancées technologiques.

Industries ciblées par APT33

APT33 s'est largement concentré sur les organisations des secteurs de l'aérospatiale, de l'énergie, de la défense, de l'ingénierie et de l'industrie. Leur intérêt correspond aux objectifs économiques et militaires de l'Iran, notamment en ce qui concerne les infrastructures pétrolières et gazières et les capacités de défense des adversaires régionaux et des concurrents mondiaux.

Les victimes d'APT33

APT33 a notamment ciblé des entreprises américaines d'ingénierie et d'aérospatiale, des conglomérats pétroliers et énergétiques saoudiens et des entités basées dans les Émirats arabes unis et possédant des infrastructures critiques. Ses opérations comprenaient à la fois du cyberespionnage et la préparation d'attaques destructrices potentielles, telles que celles liées aux campagnes de malware Shamoon, bien que l'attribution à APT33 soit circonstancielle dans certains cas.

Méthode d'attaque

Méthode d'attaque d'APT33

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

APT33 utilise principalement des courriels de spearphishing contenant des liens .hta malveillants, des fichiers malveillants ou des pièces jointes d'archives. Ils ont également compromis des comptes valides, y compris des comptes cloud Office 365, parfois par pulvérisation de mot de passe.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Des exploits comme CVE-2017-0213 ont été utilisés pour une escalade locale. En outre, ils utilisent des informations d'identification administratives valides obtenues via des outils de vidage.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

La persistance est assurée par des clés d'exécution du registre, des déploiements dans le dossier de démarrage, des tâches planifiées et des abonnements à des événements WMI. APT33 utilise des charges utiles codées (base64), des canaux C2 cryptés (AES), l'obscurcissement de PowerShell et des cadres de malware personnalisés pour contourner la détection.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

La collecte d'informations d'identification est réalisée par des outils tels que LaZagne, Mimikatz et SniffPass, qui ciblent les informations d'identification du navigateur, la mémoire LSASS, les mots de passe GPP et les informations d'identification du domaine mis en cache.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Ils utilisent des scripts et des outils communs pour recenser les systèmes, la topologie du réseau et les privilèges des comptes afin d'effectuer des mouvements latéraux.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Les déplacements entre les systèmes sont facilités par l'utilisation d'identifiants collectés, de protocoles de bureau à distance et d'accès à des comptes valides.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Les fichiers sensibles sont archivés à l'aide d'outils tels que WinRAR et peuvent également inclure des captures d'écran à l'aide d'implants de portes dérobées.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Ils exécutent des charges utiles malveillantes via PowerShell, VBScript, ou en incitant les utilisateurs à lancer des pièces jointes malveillantes. Ils exploitent également des vulnérabilités logicielles telles que CVE-2017-11774 et CVE-2018-20250.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données sont exfiltrées via des canaux FTP, HTTP et HTTPS non cryptés, parfois sur des ports non standard (808/880) avec des charges utiles codées.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Principalement axé sur l'espionnage, APT33 a la capacité de mener des opérations destructrices, comme en témoignent les liens avec des comportements similaires à ceux de Shamoon, bien qu'ils n'aient pas été prouvés de manière concluante.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

APT33 utilise principalement des courriels de spearphishing contenant des liens .hta malveillants, des fichiers malveillants ou des pièces jointes d'archives. Ils ont également compromis des comptes valides, y compris des comptes cloud Office 365, parfois par pulvérisation de mot de passe.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Des exploits comme CVE-2017-0213 ont été utilisés pour une escalade locale. En outre, ils utilisent des informations d'identification administratives valides obtenues via des outils de vidage.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

La persistance est assurée par des clés d'exécution du registre, des déploiements dans le dossier de démarrage, des tâches planifiées et des abonnements à des événements WMI. APT33 utilise des charges utiles codées (base64), des canaux C2 cryptés (AES), l'obscurcissement de PowerShell et des cadres de malware personnalisés pour contourner la détection.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

La collecte d'informations d'identification est réalisée par des outils tels que LaZagne, Mimikatz et SniffPass, qui ciblent les informations d'identification du navigateur, la mémoire LSASS, les mots de passe GPP et les informations d'identification du domaine mis en cache.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Ils utilisent des scripts et des outils communs pour recenser les systèmes, la topologie du réseau et les privilèges des comptes afin d'effectuer des mouvements latéraux.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Les déplacements entre les systèmes sont facilités par l'utilisation d'identifiants collectés, de protocoles de bureau à distance et d'accès à des comptes valides.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Les fichiers sensibles sont archivés à l'aide d'outils tels que WinRAR et peuvent également inclure des captures d'écran à l'aide d'implants de portes dérobées.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Ils exécutent des charges utiles malveillantes via PowerShell, VBScript, ou en incitant les utilisateurs à lancer des pièces jointes malveillantes. Ils exploitent également des vulnérabilités logicielles telles que CVE-2017-11774 et CVE-2018-20250.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les données sont exfiltrées via des canaux FTP, HTTP et HTTPS non cryptés, parfois sur des ports non standard (808/880) avec des charges utiles codées.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Principalement axé sur l'espionnage, APT33 a la capacité de mener des opérations destructrices, comme en témoignent les liens avec des comportements similaires à ceux de Shamoon, bien qu'ils n'aient pas été prouvés de manière concluante.

MITRE ATT&CK Mapping

TTPs utilisées par APT33

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1040
Network Sniffing
T1003
OS Credential Dumping
TA0007: Discovery
T1040
Network Sniffing
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
T1113
Screen Capture
TA0011: Command and Control
T1573
Encrypted Channel
T1571
Non-Standard Port
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1485
Data Destruction
Détections de la plate-forme

Comment détecter APT33 avec Vectra AI

Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.

Foire aux questions

Quelle est l'origine d'APT33 ?

Quelles sont les industries ciblées par APT33 ?

Quels sont les pays les plus touchés ?

Comment APT33 obtient-il un accès initial ?

Quels sont les malware ou les outils associés à APT33 ?

Sont-ils liés à des attaques destructrices ?

Comment maintiennent-ils la persistance ?

Comment les organisations peuvent-elles détecter l'activité d'APT33 ?

Quelles sont les mesures d'atténuation efficaces contre APT33 ?

Quel est l'objectif stratégique du groupe ?