Iranian Infy APT Resurfaces with New Malware Activity After Years of Silence

Le groupe Infy réapparaît avec de nouvelles activités malveillantes

Le groupe de cybercriminels iraniens Infy, également connu sous le nom de Prince of Persia, est de nouveau actif après une période de silence. Ce groupe, l’un des plus anciens acteurs de menaces persistantes avancées (APT), a été repéré pour la dernière fois en 2022. Ses activités récentes ciblent des victimes en Iran, en Irak, en Turquie, en Inde, au Canada et en Europe.

Les tactiques employées par Infy incluent l’utilisation de deux souches de logiciels malveillants : Foudre (un téléchargeur et profileur de victimes) et Tonnerre (un implant de second niveau pour l’extraction de données). Foudre est généralement distribué par e-mail de phishing, tandis que les nouvelles chaînes d’attaque impliquent l’intégration d’exécutables dans des documents Microsoft Excel.

Une caractéristique notable de ce groupe est son utilisation d’un algorithme de génération de domaine (DGA) pour renforcer la résilience de son infrastructure de commande et de contrôle (C2). Les malwares vérifient l’authenticité des domaines C2 en téléchargeant un fichier de signature RSA, lequel est ensuite déchiffré à l’aide d’une clé publique et comparé à un fichier de validation local.

Les infrastructures C2 découvertes comprennent des répertoires nommés “key” pour la validation C2, ainsi que des dossiers pour les journaux de communication et les fichiers exfiltrés. La version la plus récente de Tonnerre intègre un mécanisme pour contacter un groupe Telegram nommé “سرافراز” (fier), utilisé probablement pour émettre des commandes et collecter des données via un bot Telegram et un utilisateur spécifique. Les informations relatives à ce groupe Telegram sont stockées dans un fichier “tga.adr” accessible uniquement pour des identifiants de victime spécifiques.

D’autres variantes de logiciels malveillants associés à des campagnes Foudre plus anciennes (entre 2017 et 2020) ont également été identifiées, notamment :

• Une version de Foudre déguisée en “Amaq News Finder”.
• Une nouvelle version du cheval de Troie MaxPinner utilisé pour espionner le contenu Telegram.
• Une variation de malware similaire à Amaq News Finder appelée Deep Freeze.
• Un logiciel malveillant inconnu nommé Rugissement.

Points clés :

• Le groupe Infy (Prince of Persia) est de retour après une absence.
• Ciblage géographique élargi : Iran, Irak, Turquie, Inde, Canada, Europe.
• Utilisation de deux malwares principaux : Foudre et Tonnerre.
• Les méthodes d’infection évoluent, passant des macros aux exécutables intégrés.
• Emploi d’un DGA pour une infrastructure C2 résiliente.
• Mécanisme de validation C2 via signatures RSA.
• Utilisation de Telegram pour la commande et le contrôle dans les versions récentes de Tonnerre.
• Découverte de plusieurs variants de malwares associés.

Vulnérabilités (CVE) :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est explicitement mentionnée dans l’article pour les malwares Foudre ou Tonnerre. L’article se concentre sur les techniques et les infrastructures utilisées par le groupe.

Recommandations :

• Surveillance des e-mails de phishing : Être vigilant face aux pièces jointes suspectes, notamment les fichiers Microsoft Excel potentiellement malveillants.
• Renforcement de la sécurité des points d’accès : Mettre en œuvre des mesures de sécurité robustes pour les points d’entrée des réseaux.
• Surveillance de l’infrastructure C2 : Monitorer activement les communications réseau pour détecter des anomalies ou des connexions suspectes vers des domaines générés dynamiquement.
• Mise à jour des systèmes : Maintenir les systèmes d’exploitation et les logiciels à jour pour atténuer les vulnérabilités connues.
• Analyse et détection avancées : Utiliser des outils de sécurité avancés capables de détecter des comportements malveillants et des infrastructures C2 sophistiquées.

Source