Les chercheurs en sécurité ont observé une nouvelle campagne qu’ils attribuent au groupe Charming Kitten APT où les pirates ont utilisé le nouveau malware NokNok qui cible les systèmes macOS.
La campagne a débuté en mai et s’appuie sur une chaîne d’infection différente de celle observée précédemment, les fichiers LNK déployant les charges utiles au lieu des documents Word malveillants typiques observés lors des attaques passées du groupe.
Charming Kitten est également connu sous le nom d’APT42 ou Phosphorus et a lancé au moins 30 opérations dans 14 pays depuis 2015, selon Mandiant.
Google a lié l’acteur de la menace à l’État iranien, plus précisément au Corps des gardiens de la révolution islamique (CGRI).
En septembre 2022, le gouvernement américain a réussi à identifier et à inculper des membres du groupe menaçant.
Proofpoint rapporte que l’acteur de la menace a maintenant abandonné les méthodes d’infection basées sur les macros impliquant des documents Word lacés et déploie à la place des fichiers LNK pour charger leurs charges utiles.
En ce qui concerne les leurres de phishing et les méthodes d’ingénierie sociale observés dans la campagne, les pirates se sont fait passer pour des experts nucléaires des États-Unis et ont approché des cibles avec une offre d’examen des projets sur des sujets de politique étrangère.
Dans de nombreux cas, les attaquants insèrent d’autres personnages dans la conversation pour ajouter un sentiment de légitimité et établir un rapport avec la cible.
L’usurpation d’identité ou l’hypothèse d’une fausse personnalité de Charming Kitten dans des attaques de phishing a été documentée, tout comme son utilisation de « marionnettes à chaussettes » pour créer des fils de conversation réalistes.
Attaques sur Windows
Après avoir gagné la confiance de la cible, Charming Kitten envoie un lien malveillant contenant une macro Google Script, redirigeant la victime vers une URL Dropbox.
Cette source externe héberge une archive RAR protégée par un mot de passe avec un compte-gouttes de logiciels malveillants qui exploite le code PowerShell et un fichier LNK pour préparer le logiciel malveillant à partir d’un fournisseur d’hébergement cloud.
La charge utile finale est GorjolEcho, une simple porte dérobée qui accepte et exécute les commandes de ses opérateurs distants.
Pour éviter d’éveiller les soupçons, GorjolEcho ouvrira un PDF avec un sujet pertinent pour la discussion que les attaquants ont eue avec la cible précédemment.
Attaques sur macOS
Si la victime utilise macOS, ce que les pirates réalisent généralement après avoir échoué à les infecter avec la charge utile Windows, ils envoient un nouveau lien vers « library-store[.]camdvr[.]org » qui héberge un fichier ZIP se faisant passer pour un RUSI (Royal United Services Institute) Application VPN.
Lors de l’exécution du fichier de script Apple dans l’archive, une commande curl récupère la charge utile NokNok et établit une porte dérobée sur le système de la victime.
NokNok génère un identifiant système, puis utilise quatre modules de script bash pour définir la persistance, établir la communication avec le serveur de commande et de contrôle (C2), puis commence à exfiltrer les données vers celui-ci.
Le malware NokNok rassemble des informations système qui incluent la version du système d’exploitation, les processus en cours d’exécution et les applications installées.
NokNok crypte toutes les données collectées, les encode au format base64 et les exfiltre.
Proofpoint mentionne également que NokNok pourrait proposer des fonctionnalités plus spécifiques liées à l’espionnage via d’autres modules invisibles.
La suspicion est basée sur des similitudes de code avec GhostEcho, précédemment analysées par Check Point.
Cette porte dérobée comportait des modules qui permettaient de prendre des captures d’écran, d’exécuter des commandes et de nettoyer la piste d’infection. Il est probable que NokNok possède également ces fonctions.
Dans l’ensemble, cette campagne montre que Charming Kitten a un degré élevé d’adaptabilité, est capable de cibler les systèmes macOS si nécessaire et met en évidence la menace croissante des campagnes de logiciels malveillants sophistiqués pour les utilisateurs de macOS.