L’acteur d’État-nation iranien connu sous le nom de TA453 a été lié à un nouvel ensemble d’attaques de harponnage qui infectent les systèmes d’exploitation Windows et macOS avec des logiciels malveillants.
« TA453 a finalement utilisé une variété de fournisseurs d’hébergement cloud pour fournir une nouvelle chaîne d’infection qui déploie la porte dérobée PowerShell nouvellement identifiée GorjolEcho », a déclaré Proofpoint dans un nouveau rapport.
« Lorsqu’on lui en a donné l’occasion, TA453 a porté son logiciel malveillant et a tenté de lancer une chaîne d’infection à saveur Apple baptisée NokNok. TA453 a également utilisé l’usurpation d’identité de plusieurs personnes dans sa quête d’espionnage sans fin.
TA453, également connu sous les noms APT35, Charming Kitten, Mint Sandstorm et Yellow Garuda, est un groupe menaçant lié au Corps des gardiens de la révolution islamique (IRGC) iranien qui est actif depuis au moins 2011. Plus récemment, Volexity a souligné l’utilisation par l’adversaire d’une version mise à jour d’un implant Powershell appelé CharmPower (alias GhostEcho ou POWERSTAR).
Dans la séquence d’attaque découverte par la société de sécurité d’entreprise à la mi-mai 2023, l’équipe de piratage a envoyé des e-mails de phishing à un expert en sécurité nucléaire d’un groupe de réflexion américain axé sur les affaires étrangères qui a fourni un lien malveillant vers une macro Google Script qui rediriger la cible vers une URL Dropbox hébergeant une archive RAR.
Présent dans le fichier se trouve un compte-gouttes LNK qui lance une procédure en plusieurs étapes pour finalement déployer GorjolEcho, qui, à son tour, affiche un document PDF leurre, tout en attendant secrètement les charges utiles de la prochaine étape à partir d’un serveur distant.
Mais en réalisant que la cible utilise un ordinateur Apple, TA453 aurait modifié son mode opératoire pour envoyer un deuxième e-mail avec une archive ZIP incorporant un binaire Mach-O qui se fait passer pour une application VPN, mais en réalité, est un AppleScript qui contacte un serveur distant pour télécharger une porte dérobée basée sur un script Bash appelée NokNok.
NokNok, pour sa part, récupère jusqu’à quatre modules capables de rassembler les processus en cours d’exécution, les applications installées et les métadonnées du système, ainsi que de définir la persistance à l’aide de LaunchAgents.
Les modules « reflètent la majorité des fonctionnalités » des modules associés à CharmPower, NokNok partageant certains chevauchements de code source avec les logiciels malveillants macOS précédemment attribués au groupe en 2017.
L’acteur utilise également un faux site Web de partage de fichiers qui fonctionne probablement pour prendre les empreintes digitales des visiteurs et agir comme un mécanisme pour suivre les victimes réussies.
« TA453 continue d’adapter son arsenal de logiciels malveillants, en déployant de nouveaux types de fichiers et en ciblant de nouveaux systèmes d’exploitation », ont déclaré les chercheurs, ajoutant que l’acteur « continue de travailler vers ses mêmes objectifs finaux de reconnaissance intrusive et non autorisée » tout en compliquant simultanément les efforts de détection.
