L'APT iranien cible à la fois les victimes Windows et Mac

TA453, un acteur de l'État-nation iranien, a été connecté à une nouvelle vague d'attaques de harponnage qui infectent les systèmes d'exploitation Windows et macOS avec des logiciels malveillants.

Selon un récent rapport de Proofpoint, TA453 a employé divers fournisseurs d'hébergement cloud pour exécuter une nouvelle chaîne d'infection, en déployant une porte dérobée PowerShell nouvellement identifiée appelée GorjolEcho.

De plus, TA453 a élargi ses tactiques en tentant de lancer une chaîne d'infection orientée Apple appelée NokNok et a utilisé l'usurpation d'identité de plusieurs personnes dans sa poursuite incessante de l'espionnage.

Exploits passés de l'acteur menaçant

Ce groupe de menaces, également connu sous le nom d'APT35, Charming Kitten, Mint Sandstorm et Yellow Garuda, a des liens avec le Corps des gardiens de la révolution islamique (CGRI) iranien et est actif depuis au moins 2011. Volexity a récemment révélé son utilisation d'une version mise à jour du Implant PowerShell CharmPower (également connu sous le nom de GhostEcho ou POWERSTAR).

Lors d'une récente attaque observée par une entreprise de sécurité d'entreprise en mai 2023, TA453 a envoyé des e-mails de phishing à un expert en sécurité nucléaire d'un groupe de réflexion américain spécialisé dans les affaires étrangères. Ces e-mails contenaient un lien malveillant vers une macro Google Script, qui redirigeait la cible vers une URL Dropbox hébergeant une archive RAR.

Dans ce fichier, un dropper LNK a lancé un processus en plusieurs étapes qui a finalement déployé GorjolEcho. Cette porte dérobée affichait un document PDF leurre tout en attendant secrètement les charges utiles de la prochaine étape d'un serveur distant. Cependant, après avoir découvert que la cible utilisait un ordinateur Apple, TA453 a modifié son approche. Ils ont envoyé un deuxième e-mail avec une archive ZIP contenant un binaire Mach-O déguisé en application VPN. En réalité, ce binaire était un AppleScript qui se connectait à un serveur distant pour télécharger une porte dérobée basée sur un script Bash connue sous le nom de NokNok.

NokNok, à son tour, a récupéré jusqu'à quatre modules capables de collecter des informations sur les processus en cours d'exécution, les applications installées, les métadonnées du système et d'établir la persistance via LaunchAgents.

Ces modules partageaient des fonctionnalités importantes avec les modules associés à CharmPower, et NokNok présentait des similitudes dans le code source avec les logiciels malveillants macOS précédemment attribués au groupe TA453 en 2017.

L'auteur de la menace a également utilisé un site Web de partage de fichiers frauduleux, probablement comme un moyen de prendre les empreintes digitales des visiteurs et de suivre les victimes qui ont réussi.