FBI warns of Handala hackers using Telegram in malware attacks
Mis à jour :
Menaces liées au groupe Handala et détournement de Telegram
Le FBI a émis une alerte concernant l’utilisation de la messagerie Telegram comme infrastructure de commande et de contrôle (C2) par des groupes de pirates iraniens (Handala, Homeland Justice et Karma Below), liés au ministère iranien du Renseignement et de la Sécurité (MOIS) ainsi qu’au CGRI.
Points clés :
- Cibles : Journalistes critiques du gouvernement iranien, dissidents, organisations internationales et entités stratégiques (ex: le groupe médical Stryker).
- Mode opératoire : Utilisation de l’ingénierie sociale pour infecter des appareils Windows avec des malwares capables d’exfiltrer des captures d’écran et des fichiers.
- Action récente : Le FBI a saisi quatre domaines utilisés par ces groupes pour diffuser des données volées. Une attaque notable a visé Stryker, utilisant Microsoft Intune pour réinitialiser à distance 80 000 appareils après une compromission de compte administrateur.
- Contexte : Cette menace s’inscrit dans un climat géopolitique tendu au Moyen-Orient et s’ajoute à d’autres campagnes de piratage ciblant des applications de messagerie (Signal, WhatsApp).
Vulnérabilités :
- L’article ne mentionne pas de CVE spécifique, mais souligne une vulnérabilité liée à la gestion des privilèges : compromission de comptes administrateurs de domaine Windows, détournement d’outils de gestion de flotte (Microsoft Intune) et manipulation des accès cloud (Global Administrator).
Recommandations :
- Renforcer la sécurité des comptes à hauts privilèges (authentification multifacteur, surveillance des accès).
- Sensibiliser aux tactiques d’ingénierie sociale, particulièrement sur les plateformes de messagerie.
- Surveiller l’activité réseau pour détecter toute communication inhabituelle vers les serveurs Telegram ou des domaines suspects.
- Auditer régulièrement les configurations des outils de gestion de terminaux (MDM) pour empêcher les réinitialisations massives non autorisées.