Posté le juillet 7, 2023 à 6:19
DES HACKERS IRANIENS UTILISENT DES LOGICIELS MALVEILLANTS SOPHISTIQUÉS POUR CIBLER LES UTILISATEURS DE MACOS ET DE WINDOWS
TA453, un groupe de hackers parrainé par l’État Iranien, a été impliqué dans une nouvelle vague de campagnes de spear-phishing. Ces campagnes ont permis d’infecter les systèmes d’exploitation Windows et macOS avec des logiciels malveillants.
Des hackers Iraniens déploient un logiciel malveillant pour cibler macOS et Windows
L’activité du groupe de hackers TA453 a été révélée dans un nouveau rapport des chercheurs de Proofpoint. Le rapport indique que le groupe de hackers a déployé un large éventail de fournisseurs d’hébergement cloud pour lancer une chaîne d’infection inédite qui déploiera une porte dérobée PowerShell récemment détectée qui est connue sous le nom de GorjolEcho.
Dans le rapport, les chercheurs de Proofpoint ont déclaré avoir détecté l’activité de piratage en mi-mai 2023. L’attaque a été attribuée au groupe de hackers TA453 qui porte également d’autres noms tels que APT42, Charming Kitten, Mint Sandstorm et Yellow Garuda.
Ce groupe de hackers a mené une attaque de phishing en créant une conversation avec les cibles. Les hackers ont piégé les cibles en prétendant être un senior fellow du Royal United Services Institute (RUSI) pour les experts en sécurité nucléaire situé dans un think tank aux États-Unis se concentrant sur les affaires étrangères.
Le mail envoyé par les hackers sollicitait un retour d’information sur un projet intitulé « Iran in the Global Security Context » (L’Iran dans le contexte de la sécurité mondiale). Le hacker a ensuite demandé au destinataire l’autorisation d’envoyer un brouillon pour examen. Dans l’email original, les hackers avaient mentionné que le « projet » sur lequel ils travaillaient avait également attiré la participation d’autres experts populaires en matière de sécurité nucléaire.
« TA453 a finalement utilisé une variété de fournisseurs d’hébergement en nuage pour livrer une nouvelle chaîne d’infection qui déploie la porte dérobée PowerShell GorjolEcho récemment identifiée. Lorsqu’il en a eu l’occasion, TA453 a porté son logiciel malveillant et a tenté de lancer une chaîne d’infection à la sauce Apple surnommée NokNok par Proofpoint. TA453 a également eu recours à l’usurpation d’identité de plusieurs personnes dans sa quête d’espionnage sans fin », indique le rapport de Proofpoint.
Le groupe de hackers TA453 a été associé au Corps des gardiens de la révolution Islamique Iranienne (IRGC). Ce groupe est actif depuis 2011. Le groupe a aussi été associé à une série de campagnes de piratage récemment.
L’une des attaques les plus récentes lancées par ce groupe de hackers a été lorsque Volexity a mis en évidence que les hackers ont utilisé une version mise à jour d’un implant Powershell connu sous le nom de CharmPower. Cet implant est également connu sous d’autres noms, tels que GhostEcho ou POWERSTAR.
Le fichier envoyé aux cibles sous la forme d’un courriel contenait un lien malveillant vers une macro Google Script. Cette macro redirigeait ensuite la cible vers une URL Dropbox qui hébergeait une archive RAR.
Le fichier en question contenait aussi un dropper LNK. Ce dropper a lancé une procédure en plusieurs étapes qui a ensuite été utilisée pour déployer l’outil GorjolEcho. Cet outil a ensuite affiché un autre document PDF qui servait de leurre, afin de minimiser les risques de détection d’un éventuel exploit. Les hackers ont ensuite attendu que les charges utiles de l’étape suivante soient envoyées par un serveur distant.
Les hackers ont déployé la porte dérobée NokNok
Une fois que le groupe de hackers a détecté que la cible visée utilisait un ordinateur Apple, le groupe de hackers TA453 aurait changé de modus operandi en envoyant un second email qui contenait une archive ZIP. Ce second message contenait également un binaire Mach-O qui semblait être une application VPN.
Cependant, ce n’est pas ce qui s’est passé en réalité. Au lieu de cela, un AppleScript a été utilisé sur un serveur distant pour télécharger une porte dérobée basée sur un script Bash, connue sous le nom de NokNok. La porte dérobée NokNok est utilisée pour récupérer jusqu’à quatre modules qui peuvent collecter un large éventail d’informations auprès de la cible.
La porte dérobée NokNok collecte des informations telles que les processus en cours, les applications installées et les métadonnées du système. La porte dérobée est utilisée pour définir la persistance par le biais de LaunchAgents.
Les modules utilisés dans l’attaque semblent être les mêmes que la majorité des fonctionnalités des autres modules liés à CharmPower. La porte dérobée NokNok partage le même code source qui se recoupe généralement avec le logiciel malveillant macOS. Ce logiciel malveillant a déjà été lié à ce groupe en 2017.
Le groupe de menace a par ailleurs utilisé un faux site web de partage de fichiers qui fonctionne vraisemblablement à l’aide d’une empreinte digitale des visiteurs. Le site Web sert ensuite de mécanisme de suivi des victimes.
Le rapport indique en outre que TA453 a continué à développer son arsenal de logiciels malveillants. Ce groupe déploie généralement de nouveaux types de fichiers et cible ensuite les nouveaux systèmes d’exploitation. Les chercheurs ont déclaré que les acteurs de la menace ont continué à travailler pour atteindre les mêmes objectifs.
L’objectif final du projet est la reconnaissance intrusive et non autorisée. Les hackers ont également pris des mesures pour éviter d’être détectés en compliquant les efforts déployés pour détecter la menace et s’assurer qu’elle est bloquée hors du système de la victime visée.
