Microsoft affirme qu’un groupe de pirates informatiques soutenus par l’Iran ciblent des employés de haut niveau d’organismes de recherche et d’universités à travers l’Europe et les États-Unis dans des attaques de harponnage poussant de nouveaux logiciels malveillants de porte dérobée.
Les attaquants, un sous-groupe du tristement célèbre groupe de cyberespionnage iranien APT35 (également connu sous le nom de Charming Kitten et Phosphorus) lié au Corps des Gardiens de la Révolution islamique (CGRI), ont envoyé des courriels de phishing personnalisés et difficiles à détecter via des comptes précédemment compromis.
« Depuis novembre 2023, Microsoft a observé un sous-ensemble distinct de Tempête de sable à la Menthe (PHOSPHORE) ciblant des personnes de haut niveau travaillant sur les affaires du Moyen-Orient dans des universités et des organismes de recherche en Belgique, en France, à Gaza, en Israël, au Royaume-Uni et aux États-Unis », Microsoft a déclaré.
« Dans cette campagne, Mint Sandstorm a utilisé des leurres de phishing sur mesure pour tenter d’inciter socialement des cibles à télécharger des fichiers malveillants. Dans une poignée de cas, Microsoft a observé de nouvelles techniques post-intrusion, notamment l’utilisation d’une nouvelle porte dérobée personnalisée appelée MediaPl. »
Le malware MediaPl utilise des canaux de communication cryptés pour échanger des informations avec son serveur de commande et de contrôle (C2) et est conçu pour se faire passer pour Windows Media Player pour échapper à la détection.
Les communications entre MediaPl et son serveur C2 utilisent le cryptage AES CBC et le codage Base64, et la variante découverte sur les appareils compromis offre la possibilité de se terminer automatiquement, d’arrêter temporairement, de réessayer les communications C2 et d’exécuter des commandes C2 à l’aide de la fonction _popen.
Un deuxième malware de porte dérobée basé sur PowerShell, connu sous le nom de MischiefTut, permet de supprimer des outils malveillants supplémentaires et fournit des capacités de reconnaissance, permettant aux acteurs de la menace d’exécuter des commandes sur les systèmes piratés et d’envoyer la sortie aux serveurs contrôlés par l’attaquant.
Ce sous-ensemble APT35 se concentre sur l’attaque et le vol de données sensibles des systèmes piratés de cibles de grande valeur. Il est connu pour avoir précédemment ciblé des chercheurs, des professeurs, des journalistes et d’autres personnes ayant une connaissance des questions de sécurité et de politique alignées sur les intérêts iraniens.
« Ces personnes, qui travaillent avec ou qui ont le potentiel d’influencer les communautés du renseignement et des politiques, sont des cibles attrayantes pour les adversaires cherchant à collecter des renseignements pour les États qui parrainent leur activité, comme la République islamique d’Iran », a déclaré Microsoft.
« Sur la base de l’identité des cibles observées dans cette campagne et de l’utilisation de leurres liés à la guerre Israël-Hamas, il est possible que cette campagne soit une tentative de recueillir des points de vue sur les événements liés à la guerre de la part d’individus de tous horizons idéologiques. »
Entre mars 2021 et juin 2022, APT35 a backdoored au moins 34 entreprises avec des logiciels malveillants Sponsor jusqu’alors inconnus dans une campagne qui ciblait les organisations gouvernementales et de santé, ainsi que les entreprises des services financiers, de l’ingénierie, de la fabrication, de la technologie, du droit, des télécommunications et d’autres secteurs industriels.
Le groupe de piratage iranien a également utilisé des logiciels malveillants NokNok inédits dans des attaques contre les systèmes macOS, une autre porte dérobée conçue pour collecter, crypter et exfiltrer les données des Mac compromis.
Un autre groupe de menaces iranien connu sous le nom d’APT33 (alias Refined Kitten ou Holmium) a violé des organisations de défense lors d’attaques étendues par pulvérisation de mots de passe ciblant des milliers d’organisations dans le monde entier depuis février 2023 et a également été récemment vu en train de tenter de violer des entrepreneurs de la défense avec de nouveaux logiciels malveillants de contrefaçon.