La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié cette semaine un rapport d’analyse des logiciels malveillants (MAR) détaillant les coquilles Web utilisées par les pirates iraniens.

Les shells Web fournissent aux pirates la possibilité d’exécuter du code sur les systèmes victimes, d’énumérer les répertoires, de déployer des charges utiles supplémentaires, de voler des données et de naviguer sur le réseau victime. Des composants supplémentaires peuvent être utilisés pour étendre les capacités de commandement et de contrôle (C&C) de l’attaquant.

Le rapport de CISA révèle qu’un acteur de la menace iranien ciblant les organisations informatiques, gouvernementales, de santé, de finance et d’assurance à travers les États-Unis a été observé en train d’utiliser les coques Web ChunkyTuna, Tiny et China Chopper dans leurs attaques.

Le même acteur, révèle le rapport, a été observé ciblant des vulnérabilités bien connues, notamment celles du réseau privé virtuel (VPN) Pulse Secure, de Citrix Application Delivery Controller (ADC) et de la passerelle, et des produits BIG-IP ADC de F5.

Fin août, Crowdstrike a révélé que le groupe de cyberespionnage basé en Iran, connu sous le nom de PIONEER KITTEN, PARISITE, UNC757 et FOX KITTEN, qui opérerait au nom du gouvernement iranien, ciblait les mêmes vulnérabilités en attaques opportunistes sur de nombreux secteurs.

CISA, qui ne nomme pas l’acteur de la menace iranienne référencé dans son nouveau rapport, détaille la fonctionnalité de 19 fichiers malveillants, dont beaucoup sont des composants du shell Web China Chopper.

Le shell Web prend en charge la livraison et l’exécution du code JavaScript, mais comprend également des composants pour écouter les connexions HTTP entrantes du serveur attaquant (une application de fournisseur de services d’application (ASP)), et pour activer les capacités d’énumération de répertoire, d’exécution de la charge utile et d’exfiltration de données. .

Une version du projet open source FRP a également été utilisée, pour le tunneling de différents types de connexions (un rapport ClearSky de février 2020 a également …