Attention Facebook: Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Le groupe de cybercriminels TA456, réputé affilié à l'État iranien, visait directement un sous-traitant en défense aérospatiale, par le biais d'une campagne malicieuse dont « Marcella Flores », un faux profil Facebook, était l'instrument.
En matière d'ingénierie sociale et de logiciels malveillants, Facebook reste un solide pourvoyeur de campagnes, comme nous l'apprennent les chercheurs de Proofpoint. Ces derniers ont en effet tout récemment détecté une nouvelle campagne par laquelle le groupe TA456 se faisait passer pour une jeune femme, dont le pseudonyme était « Marcella Flores ». Un profil à l'apparence séduisante qui visait le salarié d'une filiale d'un contractant issu du secteur de la défense aérospatiale, à l'aide de logiciels malveillants. Le groupe TA456 est connu pour être un acteur malin aligné sur l'État iranien.
Facebook, un réseau social encore privilégié pour se livrer à de l'ingénierie sociale
Le profil dénommé Marcella Flores, vivant soi-disant à Liverpool, discutait depuis plusieurs mois déjà avec l'employé du sous-traitant de l'entreprise d'aérospatiale visé. Depuis le mois de novembre dernier, très exactement. Mais le compte sévissait déjà fin 2019, où Marcella avait interagi avec la cible, sans doute en l'ajoutant dans sa liste d'amis dans un premier temps. La première photo de profil Facebook apparue « en mode public » de Marcella a été téléchargée le 30 mai 2018. Selon Proofpoint, le profil de Marcella, désormais suspendu par Facebook, était ami avec plusieurs personnes qui revendiquent elles-mêmes, via leur profil, être des employés d'entreprises de la défense.
Au début du mois de juin 2021, le groupe de hackers est passé à la vitesse supérieure en envoyant à la cible un logiciel malveillant par e-mail (puisque Marcella Flores disposait également d'un compte Gmail ). Si le contenu du courrier électronique était bien personnalisé (et donc pouvait potentiellement « inspirer confiance »), celui-ci était en réalité bourré de macros, et son intention était d'effectuer une reconnaissance sur la machine de l'employé visé.
Pour information, Facebook avait annoncé, le 15 juillet, avoir pris des mesures contre « un groupe de pirates informatiques iranien pour perturber leur capacité à utiliser leur infrastructure dans le but d'abuser de notre plateforme, de distribuer des logiciels malveillants et de mener des opérations d'espionnage sur Internet, ciblant principalement les États-Unis ». Ici, Facebook attribuait ce réseau à Tortoiseshell, un acteur affilié au Corps des gardiens de la révolution islamique (IRGC), au travers d'une association avec Mahak Rayan Afraz (MRA), une société iranienne. Le profil de Marcella fait donc partie de ceux envoyés aux oubliettes par Facebook, attribués directement au groupe TA456.
Une campagne qui aboutit à une exfiltration de données sensibles grâce au malware
Le fameux malware dont nous parlions, qui est une mise à jour de Liderc et qui est surnommé LEMPO par Proofpoint, peut effectuer une reconnaissance sur la machine infectée, une fois qu'il est installé dans celle-ci. Il s'agit d'un script Visual Basic déposé par une macro Excel. Rien ne lui échappe ou presque. Il peut alors enregistrer les informations et détails personnels du propriétaire, exfiltrer des données sensibles vers un compte de messagerie aux mains de l'acteur via le protocole de communication SMTPS (et le port 465). Puis il peut ensuite masquer ses traces en supprimant les artefacts du jour. Imparable.
Note:
LEMPO collecte les informations suivantes et les enregistre dans %temp%\Logs.txt
Date et l'heure
Ordinateur et noms d'utilisateur
Informations système via WMIC os, sysaccount, environnement et commandes système informatique
Produits antivirus situés dans le chemin « SecurityCenter2 »
Disques
Liste de tâches
Logiciel et version
Utilisateurs nets et détails des utilisateurs
Après la vérification de la connectivité, détaillée dans la section suivante, LEMPO écrit ce qui suit dans %temp%\Logs.txt :
Règles de pare-feu
Liste des processus en cours via Powershell Get-Process
Configuration IP
Hôtes de domaine, utilisateurs, ordinateurs et groupes locaux
Domaines de confiance
Partages réseau Cache
arp
Tracert
IP externe (via showip.net)
Connexions (netstat -nao)
Comme nous l'indique Proofpoint, le groupe TA456, derrière cette campagne, cible régulièrement des personnes liées aux sous-traitants de la défense aérospatiale, réputées « moins sécurisées ». Ces efforts pourraient bien lui permettre de cibler ensuite le contractant principal. En l'occurrence, la personne ciblée par Marcella était responsable de la chaîne d'approvisionnement, un profil cohérent avec les activités du groupe affilié à l'Iran.
TA456 semble avoir en tout cas établi un vaste réseau de faux profils consacrés au lancement d'opérations de cyberespionnage.Pour vérifier un faux profil ,on peut contacter en appel video ou audio la personne fautive,ça peut nous aider a démasquer la personne,surtout si elle répond pas ou jamais! « Bien que ce type d’attaque ne soit pas une nouveauté pour TA456, cette campagne fait de ce groupe l'un des acteurs iraniens les plus déterminés dont Proofpoint suit de près l’activité » concluent les chercheurs en cybersécurité.
