Le groupe APT dirigé par l'Iran Charming Kitten (alias Mint Sandstorm) est à l'origine de la nouvelle campagne de logiciels malveillants BellaCiao ciblant des organisations aux États-Unis, en Europe, en Israël, en Turquie et en Inde. Nouveau dans l'attaque : le logiciel malveillant est utilisé comme code dur.
Dans son rapport actuel, Bitdefender Labs analyse les méthodes d'attaque de la nouvelle campagne active de malware BellaCiao. Le célèbre groupe iranien Charming Kitten l'utilise pour rechercher initialement des vulnérabilités de manière opportuniste et automatisée avant de lancer des attaques de logiciels malveillants hautement sophistiqués qui sont adaptées individuellement aux victimes individuelles. Ils attaquent ensuite les cibles à l'aide d'une nouvelle infrastructure de commande et de contrôle (CC). Les pirates peuvent exploiter les capacités de porte dérobée et de dropper pour coder en dur tout logiciel malveillant d'espionnage, de vol de données ou de ransomware au lieu de le télécharger. Les premiers développeurs du malware ont surnommé leur campagne d'attaque BellaCiao.
Charmant chaton soutenu par l'état iranien
Charming Kitten (également connu sous les noms APT35/APT42, Mint Sandstorm/PHOSPHORUS, ITG18, UNC788, Yellow Garuda ou TA453) est un groupe APT soutenu par l'État iranien affilié à l'armée des Gardiens de la Révolution islamique (Gardiens de la Révolution). Charming Kitten est connue des experts en sécurité informatique depuis 2014 pour cibler l'opposition politique, les militants, les journalistes et les acteurs individuels anti-régime. Le groupe s'est principalement appuyé sur l'ingénierie sociale ou le harponnage pour cela, mais a également utilisé des méthodes d'attaque sophistiquées telles que l'usurpation d'identité de chercheurs ou d'activistes bien connus. Depuis 2021, les gardiens de la révolution et les groupes APT associés sont devenus de plus en plus agressifs.
Nouvelle étape : les logiciels malveillants sous forme de code en dur
Avec BellaCiao, les membres du groupe Charming Kitten utilisent une nouvelle façon de jouer leurs commandes du serveur CC au point de terminaison existant. Pour ce faire, BellaCiao demande aux systèmes concernés de lancer une requête DNS en leur nom toutes les 24 heures. Le serveur DNS contrôlé par les pirates envoie alors une adresse IP résolue qui correspond presque à l'adresse IP publique réelle. Le serveur de commande et de contrôle envoie ses commandes via une chaîne codée en dur au lieu des téléchargements traditionnels. L'action ultérieure du logiciel malveillant est déguisée en processus informatique légitime.
La chaîne est définie individuellement pour chaque entreprise attaquée selon le modèle :
<2 lettres majuscules aléatoires><3 lettres minuscules aléatoires> .
Tous les échantillons observés par Bitdefender incluent des chemins .pdb. PDB (Program DataBase) est un format de fichier pour Microsoft Visual Studio et stocke des informations de débogage sur un exécutable ou un fichier DLL. Les chemins contiennent ensuite les informations sur les attaques de chaque client individuel, triées par pays.
Attaques hybrides : de l'opportunisme automatisé aux attaques manuelles ciblées. Avec BellaCiao, les pirates utilisent une attaque de malware ciblée basée sur des attaques opportunistes.
Toujours à la recherche d'une vulnérabilité à distance
Les pirates APT à motivation commerciale ou soutenus par l'État comme Charming Kitten recherchent actuellement de plus en plus des vulnérabilités d'exécution de code à distance (RCE) - de préférence celles pour lesquelles un PoC est déjà connu publiquement. Sur cette base, ils veulent attaquer autant d'entreprises que possible en utilisant des méthodes opportunistes. Ils découvrent des systèmes vulnérables avec des analyses automatisées et les compromettent avec une charge utile malveillante en utilisant une tactique de pulvérisation et de prière. Cela en vaut généralement la peine : même si les fabricants de logiciels publient un correctif contre la vulnérabilité, en moyenne des dizaines de milliers de systèmes dans le monde restent non corrigés et donc vulnérables. Ensuite, les attaquants implémentent alors un webshell.
L'intrusion persistante dans le réseau des victimes est suivie d'attaques ciblées, en l'occurrence avec BellaCiao. Des semaines ou des mois peuvent parfois s'écouler entre le début opportuniste et l'exécution effective d'une attaque. Des entreprises de tous les secteurs et de différentes tailles sont concernées.
Microsoft Defender peut alors être désactivé
Les attaquants peuvent alors effectuer de nombreuses actions, telles que la désactivation de Microsoft Defender ou le vol des informations de mot de passe. Une variante de BellaCiao implémente l'outil de ligne de commande Plink pour une connexion proxy inverse au serveur de commande et de contrôle. Par conséquent, les pirates peuvent utiliser Powershell pour exécuter des commandes et des scripts, charger ou télécharger des fichiers ou arrêter un serveur Web. Les experts de Bitdefender s'attendent également à des attaques sur les serveurs Microsoft Exchange.
Une correction cohérente des vulnérabilités connues est particulièrement recommandée comme défense contre de telles attaques hybrides. Si tel est le cas, chaque entreprise devrait supposer que les pirates donneront également suite à un tel conseil. La réduction de la surface d'attaque, la détection et la défense proactives ainsi que les informations sur les menaces basées sur la réputation de l'adresse IP, du domaine et de l'URL sont tout aussi importantes. Les experts en sécurité d'un centre d'opérations de sécurité identifient les attaques modifiées individuellement.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de