Des pirates iraniens utilisent des leurres de type « emploi de rêve » pour déployer le malware SnailResin dans des attaques aérospatiales
L’acteur de menace iranien connu sous le nom de TA455 a été observé en train de s’inspirer du manuel d’un groupe de pirates informatiques nord-coréen pour orchestrer sa propre version de la campagne Dream Job ciblant l’industrie aérospatiale en proposant de faux emplois depuis au moins septembre 2023.
« La campagne a distribué le malware SnailResin, qui active la porte dérobée SlugResin », a déclaré la société israélienne de cybersécurité ClearSky dans une analyse mardi.
TA455, également suivi par Mandiant, propriété de Google, sous les noms UNC1549 et Yellow Dev 13, est considéré comme un sous-cluster au sein d’ APT35 , connu sous les noms de CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anciennement Phosphorus), Newscaster, TA453 et Yellow Garuda.
Affilié au Corps des gardiens de la révolution islamique d’Iran (IRGC), le groupe partagerait des chevauchements tactiques avec des groupes appelés Smoke Sandstorm (anciennement Bohrium) et Crimson Sandstorm (anciennement Curium).
Début février, le collectif adverse a été accusé d’être à l’origine d’une série de campagnes très ciblées visant les industries aérospatiales, aéronautiques et de défense au Moyen-Orient, notamment en Israël, aux Émirats arabes unis, en Turquie, en Inde et en Albanie.
Les attaques utilisent des tactiques d’ingénierie sociale qui utilisent des leurres liés à l’emploi pour fournir deux portes dérobées appelées MINIBIKE et MINIBUS. La société de sécurité d’entreprise Proofpoint a déclaré avoir également observé que « TA455 utilise des sociétés écrans pour interagir professionnellement avec des cibles d’intérêt via une page Contactez-nous ou une demande de vente ».
Cela dit, ce n’est pas la première fois que l’acteur malveillant utilise des leurres à thème professionnel dans ses campagnes d’attaque. Dans son rapport « Cyber Threats 2022 : A Year in Retrospect », PwC a déclaré avoir détecté une activité d’espionnage menée par TA455, dans laquelle les attaquants se sont fait passer pour des recruteurs d’entreprises réelles ou fictives sur diverses plateformes de médias sociaux.
/>« Yellow Dev 13 a utilisé une variété de photographies générées par l’intelligence artificielle (IA) pour ses personnages et a usurpé l’identité d’au moins un individu réel pour ses opérations », a noté la société .
ClearSky a déclaré avoir identifié plusieurs similitudes entre les deux campagnes Dream Job menées par le groupe Lazarus et TA455, notamment l’utilisation d’appâts pour des opportunités d’emploi et le chargement latéral de DLL pour déployer des logiciels malveillants.
Cela a soulevé la possibilité que ce dernier copie délibérément le savoir-faire du groupe de pirates informatiques nord-coréen pour brouiller les efforts d’attribution, ou qu’il existe une sorte de partage d’outils.
Les chaînes d’attaque utilisent de faux sites de recrutement (« careers2find[.]com ») et des profils LinkedIn pour distribuer une archive ZIP qui, entre autres fichiers, contient un exécutable (« SignedConnection.exe ») et un fichier DLL malveillant (« secur32.dll ») qui est chargé latéralement lorsque le fichier EXE est exécuté.
Selon Microsoft, secur32.dll est un chargeur de Troie nommé SnailResin qui est responsable du chargement de SlugResin , une version mise à jour de la porte dérobée BassBreaker qui accorde un accès à distance à une machine compromise, permettant ainsi aux acteurs de la menace de déployer des logiciels malveillants supplémentaires, de voler des informations d’identification, d’élever les privilèges et de se déplacer latéralement vers d’autres appareils sur le réseau.
Les attaques se caractérisent également par l’utilisation de GitHub comme résolveur de pannes en codant le serveur de commande et de contrôle réel dans un référentiel, permettant ainsi à l’adversaire d’obscurcir ses opérations malveillantes et de se fondre dans le trafic légitime.
« Le TA455 utilise un processus d’infection en plusieurs étapes soigneusement conçu pour augmenter ses chances de succès tout en minimisant la détection », a déclaré ClearSky.
« Les premiers e-mails de spear-phishing contiennent probablement des pièces jointes malveillantes déguisées en documents professionnels, qui sont ensuite dissimulées dans des fichiers ZIP contenant un mélange de fichiers légitimes et malveillants. Cette approche à plusieurs niveaux vise à contourner les analyses de sécurité et à inciter les victimes à exécuter le logiciel malveillant. »