L’acteur de la menace soutenu par l’État iranien suivi comme APT42 utilise des attaques d’ingénierie sociale, notamment en se faisant passer pour des journalistes, pour violer les réseaux d’entreprise et les environnements cloud de cibles occidentales et Moyen-Orientales.
APT42 a été documenté pour la première fois par Mandiant en septembre 2022, qui a signalé que les acteurs de la menace étaient actifs depuis 2015, ayant mené au moins 30 opérations dans 14 pays.
Le groupe d’espionnage, qui serait affilié à l’Organisation iranienne du renseignement du Corps des Gardiens de la Révolution islamique (IRGC-IO), a été observé en train de cibler des organisations non gouvernementales, des médias, des établissements d’enseignement, des militants et des services juridiques.
Les analystes des menaces de Google qui suivent les opérations d’APT42 rapportent que les pirates utilisent des courriels malveillants pour infecter leurs cibles avec deux portes dérobées personnalisées, à savoir « Nicecurl » et « Tamecat », qui fournissent des capacités d’exécution de commandes et d’exfiltration de données.
Création de personnages en ligne
Les attaques APT42 reposent sur l’ingénierie sociale et le spear-phishing, dans le but ultime d’infecter les appareils des cibles avec des portes dérobées personnalisées, permettant aux auteurs de menaces d’obtenir un accès initial aux réseaux des organisations.
L’attaque commence par des courriels de personnalités en ligne se faisant passer pour des journalistes, des représentants d’ONG ou des organisateurs d’événements envoyés à partir de domaines qui « typosquatent » (utilisent des URL similaires) à ceux d’organisations légitimes.
Les organisations médiatiques imitées par APT42 comprennent le Washington Post( États-Unis), The Economist (Royaume-Uni), le Jerusalem Post (IL), Khaleej Times (Émirats Arabes Unis), Azadliq( Azerbaïdjan), Mandiant déclarant que les attaques utilisent souvent des domaines typosquatted comme » washinqtonpost[.] appuyez sur ».
Une fois que les attaquants ont échangé suffisamment de communication pour établir la confiance avec une victime, ils envoient un lien vers un document lié à une conférence ou à un article de presse, selon le sujet de leurre sélectionné.
Cliquer sur les liens dirige les cibles vers de fausses pages de connexion qui imitent des services bien connus comme Google et Microsoft ou même des plateformes spécialisées pertinentes pour le domaine de travail de la victime.
Ces sites de phishing récoltent non seulement les informations d’identification du compte de la victime, mais également leurs jetons d’authentification multifacteur (MFA).
Après avoir volé toutes les données nécessaires au détournement du compte de la victime, les pirates informatiques infiltrent le réseau de l’entreprise ou l’environnement cloud et collectent des informations sensibles telles que des courriels et des documents.
Google rapporte que pour échapper à la détection et se fondre dans les opérations normales, APT42 limite ses actions aux fonctionnalités intégrées des outils cloud auxquels il a accès, efface l’historique de Google Chrome après avoir examiné les documents et utilise des adresses e-mail qui semblent appartenir à l’organisation victime pour exfiltrer des fichiers vers des comptes OneDrive.
De plus, APT 42 utilise des nœuds VPN Express, des domaines hébergés par Cloudflare et des serveurs VPS éphémères lors de toutes les interactions avec l’environnement de la victime, ce qui rend l’attribution plus difficile.
Malware de porte dérobée personnalisée
APT42 utilise deux portes dérobées personnalisées nommées Nicecurl et Tamecat, chacune adaptée à des fonctions spécifiques des opérations de cyberespionnage.
Nicecurl est une porte dérobée basée sur VBScript capable d’exécuter des commandes, de télécharger et d’exécuter des charges utiles supplémentaires ou d’effectuer une exploration de données sur l’hôte infecté.
Tamecat est une porte dérobée PowerShell plus complexe qui peut exécuter du code PS arbitraire ou des scripts C#, offrant à APT42 une grande flexibilité opérationnelle pour effectuer le vol de données et une manipulation étendue du système.
Comparé à Nicecurl, Tamecat obscurcit sa communication C2 avec base64, peut mettre à jour sa configuration dynamiquement et évalue l’environnement infecté avant son exécution pour échapper à la détection par les outils antivirus et autres mécanismes de sécurité actifs.
Les deux portes dérobées sont déployées via des e-mails de phishing contenant des documents malveillants, nécessitant souvent des autorisations de macro pour s’exécuter. Cependant, si APT42 a cultivé la confiance avec la victime, cette exigence devient moins un obstacle car la victime est plus susceptible de désactiver manuellement les fonctions de sécurité.
Des logiciels malveillants similaires, sinon identiques, ont été analysés par Volexity en février, qui a également lié les attaques aux acteurs de la menace iranienne.