Posté le juillet 10, 2023 à 6:15
LES HACKERS DE CHARMING KITTEN DÉPLOIENT UN NOUVEAU LOGICIEL MALVEILLANT NOKNOK CIBLANT LES APPAREILS MACOS
Des chercheurs en cybersécurité ont détecté une nouvelle campagne de hackers attribuée au groupe APT Charming Kitten. Au cours de cette campagne, les hackers déploient un nouveau logiciel malveillant NokNok utilisé pour cibler les systèmes macOS.
Les hackers de Charming Kitten déploient un nouveau logiciel malveillant NokNok
La campagne de piratage en question a débuté en mai et utilise principalement une chaîne d’infection différente de celle qui avait été détectée précédemment. Les fichiers LNK sont employés pour déployer les charges utiles au lieu des documents Word habituellement dotés de logiciel malveillant. Les attaques menées par le passé par ce groupe impliquent généralement l’installation de logiciels malveillants sur des documents Word.
Charming Kitten est un groupe de hackers également connu sous d’autres noms, comme APT42 ou Phosphorous. Le groupe a été lié à au moins 30 opérations à travers 14 pays depuis qu’il a commencé à mener des campagnes de hackers en 2015, selon un rapport de Mandiant.
Google a associé l’acteur de la menace au gouvernement Iranien et au Corps des gardiens de la révolution Islamique (IRGC). Le groupe de hackers parrainé par l’État a été lié à un large éventail de campagnes de piratage dans le passé, ciblant des gouvernements et des institutions clés.
En septembre de l’année dernière, le gouvernement Américain a déclaré avoir identifié et inculpé les membres de ce groupe de hackers. Malgré ces inculpations, les hackers ont continué à faire des ravages.
Selon un rapport de Proofpoint, l’acteur de la menace a désormais abandonné l’utilisation de techniques d’infection basées sur des macros impliquant des documents Word infectés par des logiciels malveillants. Au lieu de cela, le groupe de hackers déploie des fichiers LNK pour charger les charges utiles.
La campagne malveillante utilisée par les hackers est associée aux stratégies d’ingénierie sociale et aux campagnes d’hameçonnage qui ont été observées dans cette campagne. Les hackers à l’origine de l’attaque ont fait croire aux cibles visées qu’elles étaient des experts nucléaires basés aux États-Unis. Ils ont ensuite approché ces cibles en leur proposant d’examiner les projets créés sur la politique étrangère.
Dans la plupart de ces cas, les hackers utilisent généralement d’autres personnalités au cours d’une conversation pour avoir un sentiment de légitimité. Cette démarche permet également aux hackers d’établir un rapport avec la cible visée.
Charming Kitten recourt généralement à l’usurpation d’identité et à l’hypothèse d’un faux personnage pour lancer ses campagnes de piratage. Les hackers s’appuient également sur des « sock puppets » pour générer des menaces de conversation réalistes avec les cibles et lancer une campagne de piratage.
Exploits de piratage sur les appareils macOS
Après avoir gagné l’intérêt de la cible, le groupe de hackers Charming Kitten envoie par la suite un lien malveillant. Ce lien contient une macro Google Script qui redirige la victime vers une URL Dropbox.
La source externe héberge généralement une archive RAR protégée par un mot de passe. Cette archive contient un logiciel malveillant dropper qui va exploiter le code PowerShell. Elle est également accompagnée d’un fichier LNK qui met en scène le logiciel malveillant à partir d’un fournisseur d’hébergement dans le cloud.
La charge utile finale utilisée pour exécuter ces exploits de piratage est connue sous le nom de GorjolEcho. Il s’agit d’une simple porte dérobée utilisée pour accepter et exécuter des commandes provenant d’opérateurs distants. Pour s’assurer que les activités du groupe de hackers ne soient pas détectées, GorjolEcho va créer un PDF qui contient les conversations précédentes entre les hackers et les victimes visées.
La source externe héberge généralement une archive RAR protégée par un mot de passe. Cette archive contient un logiciel malveillant dropper qui va exploiter le code PowerShell. Elle est également accompagnée d’un fichier LNK qui met en scène le logiciel malveillant à partir d’un fournisseur d’hébergement dans le cloud.
La charge utile finale utilisée pour exécuter ces exploits de piratage est connue sous le nom de GorjolEcho. Il s’agit d’une simple porte dérobée utilisée pour accepter et exécuter des commandes provenant d’opérateurs distants. Pour s’assurer que les activités du groupe de hackers ne soient pas détectées, GorjolEcho va créer un PDF qui contient les conversations précédentes entre les hackers et les victimes visées.
Si la victime s’appuie sur macOS, les hackers s’en rendront compte après avoir échoué à déclencher une infection avec la charge utile Windows. Les hackers enverront également un lien vers » library-store[.]camdvr[.]org qui contient un fichier ZIP se cachant sous la forme d’une application VPN du Royal United Services Institute (RUSI) « .
Après l’exécution d’un fichier script Apple dans l’archive, une commande curl localise la charge utile NokNok et crée une porte dérobée dans le système de la victime. La porte dérobée NokNok possède généralement un identifiant système et déploie ensuite quatre modules de script bash pour la persistance, la création d’une communication avec le serveur de commande et de contrôle et l’exfiltration des données.
Le logiciel malveillant NokNok collectera par ailleurs des informations sur le système, notamment la version du système d’exploitation sur lequel tourne l’appareil cible, le processus en cours et les applications qui ont été installées. Le logiciel malveillant chiffrera les données recueillies et les encodera à l’aide du format base64 avant de les exfiltrer.
L’étude de Proofpoint indique en outre que la porte dérobée NokNok pourrait être utilisée pour faciliter des campagnes d’espionnage par le biais d’autres modules. Les soupçons reposent sur les similitudes du code avec celui de GhostEcho.
La porte dérobée est aussi capable de faire des captures d’écran, d’exécuter des commandes et de nettoyer les traces de l’infection. NokNok contient également ces fonctions. L’ensemble de la campagne montre que Charming Kitten est très adaptable et qu’il peut cibler les systèmes macOS si nécessaire. Elle montre par ailleurs qu’il existe une menace accrue de campagnes de piratage par le biais d’anciennes et de nouvelles techniques.