Les gouvernements du Moyen-Orient ciblés par le logiciel malveillant IronWind

Cette activité, détectée entre juillet et octobre 2023, a été attribuée par Proofpoint à un acteur de menace qu’il suit sous le nom de TA402, qui est également connu sous le nom de Molerats, Gaza Cyber Gang, et partage des chevauchements tactiques avec une équipe de pirates pro-Hamas connue sous le nom d’APT-C-23 (alias Arid Viper).

« Lorsqu’il s’agit d’acteurs de la menace alignés sur des États, la Corée du Nord, la Russie, la Chine et l’Iran se taillent généralement la part du lion », a déclaré Joshua Miller, chercheur principal en menaces chez Proofpoint, dans un communiqué transmis à The Hacker News.

« Mais TA402, un groupe de menaces persistantes avancées (APT) du Moyen-Orient qui a historiquement opéré dans l’intérêt des Territoires palestiniens, s’est toujours révélé être un acteur intriguant capable d’un cyber-espionnage hautement sophistiqué, axé sur la collecte de renseignements. »

L’utilisation d’IronWind s’accompagne de mises à jour régulières de ses mécanismes de diffusion de logiciels malveillants, qui utilisent des liens Dropbox, des pièces jointes XLL et des archives RAR pour distribuer IronWind. L’utilisation d’IronWind constitue un changement par rapport aux chaînes d’attaques précédentes qui étaient liées à la propagation d’une porte dérobée portant le nom de code NimbleMamba lors d’intrusions ciblant des gouvernements du Moyen-Orient et des groupes de réflexion sur la politique étrangère.
Les dernières campagnes de TA402 se caractérisent par l’utilisation d’un compte de messagerie électronique compromis appartenant au ministère des Affaires étrangères pour envoyer des appâts de phishing pointant vers des liens Dropbox qui facilitent le déploiement d’IronWind. Le téléchargeur est conçu pour contacter un serveur contrôlé par l’attaquant afin de récupérer d’autres charges utiles, notamment un kit d’outils de post-exploitation appelé SharpSploit, suivant une séquence en plusieurs étapes. D’autres campagnes d’ingénierie sociale menées en août et en octobre 2023 ont permis d’exploiter des fichiers XLL et des archives RAR joints à des courriels pour déclencher le déploiement d’IronWind. Une autre tactique notable employée par le groupe est le recours à des techniques de géofencing qui compliquent les efforts de détection.
« Le conflit en cours au Moyen-Orient ne semble pas avoir entravé leurs opérations, car ils continuent d’itérer et d’utiliser de nouvelles méthodes de diffusion astucieuses qui contournent les efforts de détection », a déclaré M. Miller. « En utilisant des chaînes d’infection complexes et en créant de nouveaux logiciels malveillants, ils attaquent leurs cibles ; TA402 poursuit son activité extrêmement ciblée en se concentrant sur les entités gouvernementales basées en Afrique du Nord.

Ce développement intervient alors que Cisco Talos a révélé que des cybercriminels ont été observés en train d’exploiter la fonction « Release scores » des quiz Google Forms en envoyant des courriels et en orchestrant des escroqueries élaborées à la crypto-monnaie, mettant en évidence les moyens créatifs utilisés par les acteurs de la menace pour atteindre leurs objectifs. « Les courriels proviennent des propres serveurs de Google et peuvent donc plus facilement contourner les protections anti-spam pour trouver la boîte de réception de la victime », a déclaré le chercheur en sécurité Jaeson Schultz la semaine dernière.