Un logiciel malveillant sophistiqué de pirates iraniens cible les utilisateurs de Windows et de macOS
- par Kenan
- , le 13 juillet 2023
- 15 h 53 min
« TA453 a finalement utilisé une variété de fournisseurs d’hébergement en nuage pour livrer une nouvelle chaîne d’infection qui déploie la porte dérobée PowerShell GorjolEcho récemment identifiée », a déclaré Proofpoint dans un nouveau rapport.
« Lorsque l’occasion lui en a été donnée, TA453 a porté son malware et a tenté de lancer une chaîne d’infection à la sauce Apple, baptisée NokNok. TA453 a également eu recours à l’usurpation d’identité de plusieurs personnes dans sa quête d’espionnage sans fin. »
TA453, également connu sous les noms d’APT35, Charming Kitten, Mint Sandstorm et Yellow Garuda, est un groupe de menace lié au Corps des gardiens de la révolution islamique d’Iran (IRGC) qui est actif depuis au moins 2011. Plus récemment, Volexity a mis en évidence l’utilisation par l’adversaire d’une version actualisée d’un implant Powershell appelé CharmPower (alias GhostEcho ou POWERSTAR).
Dans la séquence d’attaque découverte par l’entreprise de sécurité à la mi-mai 2023, l’équipe de pirates a envoyé des courriels d’hameçonnage à un expert en sécurité nucléaire d’un groupe de réflexion basé aux États-Unis et spécialisé dans les affaires étrangères, avec un lien malveillant vers une macro Google Script qui redirigeait la cible vers une URL Dropbox hébergeant une archive RAR.
Ce fichier contient un dropper LNK qui lance une procédure en plusieurs étapes pour déployer GorjolEcho qui, à son tour, affiche un document PDF leurre, tout en attendant secrètement les charges utiles de l’étape suivante sur un serveur distant.
Mais lorsqu’il s’est rendu compte que la cible utilisait un ordinateur Apple, TA453 aurait modifié son mode opératoire pour envoyer un second courriel contenant une archive ZIP intégrant un binaire Mach-O qui se fait passer pour une application VPN, mais qui est en réalité un AppleScript qui se connecte à un serveur distant pour télécharger une porte dérobée basée sur un script Bash appelée NokNok. NokNok récupère pas moins de quatre modules capables de rassembler les processus en cours d’exécution, les applications installées et les métadonnées du système, ainsi que de définir la persistance à l’aide de LaunchAgents. Les modules « reflètent la majorité des fonctionnalités » associées à CharmPower, NokNok partageant certains chevauchements de code source avec le malware macOS précédemment attribué au groupe en 2017. L’acteur utilise également un faux site web de partage de fichiers qui permet de prendre les empreintes digitales des visiteurs et sert de mécanisme de suivi des victimes. « TA453 continue d’adapter son arsenal de logiciels malveillants en déployant de nouveaux types de fichiers et en ciblant de nouveaux systèmes d’exploitation », ont déclaré les chercheurs, ajoutant que l’acteur « continue de travailler pour atteindre les mêmes objectifs de reconnaissance intrusive et non autorisée » tout en compliquant les efforts de détection.