Des chercheurs en cybersécurité ont découvert une nouvelle infrastructure réseau mise en place par des acteurs de la menace iranienne pour soutenir les activités liées au récent ciblage des campagnes politiques américaines.
Le groupe Insikt de Recorded Future a lié l’infrastructure à une menace qu’il suit sous le nom de GreenCharlie, un groupe de cybermenace lié à l’Iran qui chevauche APT42, Charming Kitten, Damselfly, Mint Sandstorm (anciennement Phosphorus), TA453 et Yellow Garuda.
« L’infrastructure du groupe est méticuleusement conçue, utilisant des fournisseurs de DNS dynamiques (DDNS) comme Dynu, DNSEXIT et Vitalwerks pour enregistrer les domaines utilisés dans les attaques de phishing », a déclaré la société de cybersécurité. dit.
« Ces domaines utilisent souvent des thèmes trompeurs liés aux services cloud, au partage de fichiers et à la visualisation de documents pour inciter les cibles à révéler des informations sensibles ou à télécharger des fichiers malveillants. »
Parmi les exemples, on peut citer les termes « cloud », « uptimezone », « doceditor », « joincloud » et « pageviewer », entre autres. La majorité des domaines ont été enregistrés sous le domaine de premier niveau (TLD) .info, ce qui constitue une différence par rapport aux TLD .xyz, .icu, .network, .online et .site précédemment observés.
L’adversaire a l’habitude d’organiser des attaques de phishing très ciblées qui exploitent des techniques d’ingénierie sociale étendues pour infecter les utilisateurs avec des logiciels malveillants comme POWERSTAR (alias CharmPower et GorjolEcho) et GORBLE, qui a récemment été identifié par Mandiant, propriété de Google, comme utilisé dans des campagnes contre Israël et les États-Unis.
GORBLE, TAMECAT et POWERSTAR sont considérés comme des variantes du même malware, une série d’implants PowerShell en constante évolution déployés par GreenCharlie au fil des ans. Il convient de noter que Proofpoint a détaillé un autre successeur de POWERSTAR surnommé BlackSmith qui a été utilisé dans une campagne de spear-phishing ciblant une personnalité juive de premier plan fin juillet 2024.
Le processus d’infection se déroule souvent en plusieurs étapes, qui implique l’obtention d’un accès initial par phishing, suivi de l’établissement d’une communication avec les serveurs de commande et de contrôle (C2) et, finalement, l’exfiltration de données ou la livraison de charges utiles supplémentaires.
Les conclusions de Recorded Future montrent que l’acteur malveillant a enregistré un grand nombre de domaines DDNS depuis mai 2024, la société identifiant également des communications entre des adresses IP basées en Iran (38.180.146[.]194 et 38.180.146[.]174) et l’infrastructure GreenCharlie entre juillet et août 2024.
De plus, un lien direct a été découvert entre les clusters GreenCharlie et les serveurs C2 utilisés par GORBLE. On pense que les opérations sont facilitées par le biais de Proton VPN ou Proton Mail pour masquer leur activité.
« Les opérations de phishing de GreenCharlie sont très ciblées, utilisant souvent des techniques d’ingénierie sociale qui exploitent l’actualité et les tensions politiques », a déclaré Recorded Future.
« Le groupe a enregistré de nombreux domaines depuis mai 2024, dont beaucoup sont probablement utilisés pour des activités de phishing. Ces domaines sont liés à des fournisseurs DDNS, qui permettent des changements rapides d’adresses IP, ce qui rend difficile le suivi des activités du groupe. »
Cette révélation intervient dans un contexte de recrudescence des cyberattaques iraniennes contre les États-Unis et d’autres cibles étrangères. Plus tôt cette semaine, Microsoft a révélé que plusieurs secteurs aux États-Unis et aux Émirats arabes unis étaient la cible d’un acteur iranien de la menace nommé Peach Sandstorm (alias Refined Kitten).
De plus, les agences gouvernementales américaines ont déclaré qu’une autre équipe de pirates informatiques soutenue par l’État iranien, Pioneer Kitten, a travaillé comme courtier d’accès initial (IAB) pour faciliter les attaques de ransomware contre les secteurs de l’éducation, de la finance, de la santé, de la défense et du gouvernement aux États-Unis, en collaboration avec les équipes de NoEscape, RansomHouse et BlackCat.