Les entités gouvernementales du Moyen-Orient sont la cible de nouvelles campagnes de phishing conçues pour fournir un nouveau téléchargeur d’accès initial baptisé FerVent.
L’activité, détectée entre juillet et octobre 2023, a été attribué par Proofpoint à un acteur menaçant qu’il suit sous le nom TA402également connu sous le nom de Molerats, Gaza Cyber Gang, et partage chevauchements tactiques avec une équipe de hackers pro-Hamas connue sous le nom d’APT-C-23 (alias Arid Viper).
« En ce qui concerne les acteurs de la menace alignés sur les États, la Corée du Nord, la Russie, la Chine et l’Iran se taillent généralement la part du lion », a déclaré Joshua Miller, chercheur principal sur les menaces chez Proofpoint, dans un communiqué partagé avec The Hacker News.
« Mais TA402, un groupe de menace persistante avancée (APT) au Moyen-Orient qui a historiquement opéré dans les intérêts des territoires palestiniens, s’est toujours révélé être un acteur menaçant intrigant, capable de réaliser un cyberespionnage très sophistiqué axé sur la collecte de renseignements. »
L’utilisation d’IronWind coïncide avec des mises à jour cohérentes de ses mécanismes de diffusion de logiciels malveillants, utilisant des liens Dropbox, des pièces jointes XLL et des archives RAR pour distribuer IronWind.
L’utilisation d’IronWind marque un changement par rapport aux chaînes d’attaque précédentes, qui étaient liées à la propagation d’une porte dérobée nommée NimbleMamba dans des intrusions ciblant les gouvernements du Moyen-Orient et les groupes de réflexion sur la politique étrangère.
Les dernières campagnes de TA402 se caractérisent par l’utilisation d’un compte de messagerie compromis appartenant au ministère des Affaires étrangères pour envoyer des leurres de phishing pointant vers des liens Dropbox facilitant le déploiement d’IronWind.
Le téléchargeur est conçu pour contacter un serveur contrôlé par un attaquant afin de récupérer des charges utiles supplémentaires, notamment une boîte à outils post-exploitation appelée SharpSploitsuivant une séquence en plusieurs étapes.
Il a été constaté que les campagnes d’ingénierie sociale ultérieures en août et octobre 2023 exploitaient les pièces jointes de fichiers XLL et d’archives RAR intégrées dans les messages électroniques pour déclencher le déploiement d’IronWind. Une autre tactique notable employée par le groupe est le recours aux techniques de géorepérage pour compliquer les efforts de détection.
« Le conflit en cours au Moyen-Orient ne semble pas avoir entravé leurs opérations en cours, car ils continuent d’itérer et d’utiliser de nouvelles méthodes de livraison intelligentes pour contourner les efforts de détection », a déclaré Miller.
« En utilisant des chaînes d’infection complexes et en créant de nouveaux logiciels malveillants pour attaquer leurs cibles, TA402 continue de se livrer à des activités extrêmement ciblées, en mettant fortement l’accent sur les entités gouvernementales basées au Moyen-Orient et en Afrique du Nord. »
Cette évolution intervient alors que Cisco Talos a révélé que des cybercriminels ont été observés en train d’exploiter la fonctionnalité « Scores de publication » des quiz Google Forms pour envoyer des e-mails et orchestrer des escroqueries élaborées en matière de cryptomonnaie, mettant en évidence les moyens créatifs auxquels les acteurs de la menace recourent pour atteindre leurs objectifs.
« Les e-mails proviennent des propres serveurs de Google et il peut donc être plus facile de contourner les protections anti-spam et de trouver la boîte de réception de la victime », a déclaré le chercheur en sécurité Jaeson Schultz. dit la semaine dernière.