Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une campagne de cyber espionnage de 6 ans découverte au Moyen-Orient

juin 2021 par Kaspersky

Kaspersky annonce la découverte d’une campagne de cyber espionnage lancée depuis plusieurs années et visant les individus parlant le persan en Iran. Baptisé Ferocious Kitten, le groupe de hackers à l’origine de cette campagne est actif depuis au moins 2015. Il a développé un malware personnalisé dénommé « MarkiRAT », capable de dérober des données et d’exécuter des commandes sur les appareils de ses victimes. Le malware possède également des variantes qui détournent le navigateur Chrome ainsi que l’application de messagerie Telegram.

En mars 2021, un document leurre suspect a été téléchargé sur VirusTotal et révélé auprès du grand public par le biais d’un message sur Twitter. En analysant ce tweet, les chercheurs de Kaspersky ont décidé d’approfondir leurs recherches. Ils ont ainsi découvert une campagne de surveillance d’une durée de 6 ans et ciblant des individus parlant le persan en Iran. Le groupe responsable de cette campagne a été baptisé « Ferocious Kitten ». Actif depuis au moins 2015, Ferocious Kitten cible ses victimes avec des documents leurres contenant des macros malveillantes. Déguisés en images ou en vidéos, ces documents relaient des actions contre le régime iranien (manifestations ou images de camps de résistance). Leurs messages incitent la victime à activer les images ou les vidéos jointes. Si elle accepte, des exécutables malveillants sont déposés sur le système ciblé, tandis que le contenu du leurre s’affiche à l’écran.

Ces exécutables déposent un malware personnalisé connu sous le nom de « MarkiRAT ». Une fois téléchargé dans le système de la victime, MarkiRAT active un enregistreur de frappe qui se charge de copier tout le contenu du presse-papiers et d’enregistrer les frappes consécutives sur clavier. MarkiRAT fournit également aux pirates des capacités de téléchargement de fichiers et leur permet d’exécuter des commandes arbitraires sur la machine infectée.

Les chercheurs de Kaspersky ont mis en lumière plusieurs variantes du malware. La première variante intercepte l’exécution de l’application de messagerie Telegram et lance le malware en parallèle en recherchant son référentiel de données interne au sein de l’appareil infecté. Si MarkiRAT détecte ce référentiel, il s’y propage et modifie ensuite le raccourci qui exécute Telegram pour lancer la version compromise du référentiel via l’application.

À l’instar de la première variante ciblant Telegram, la deuxième modifie le raccourci du navigateur Chrome. Chaque fois que l’utilisateur démarre son navigateur, l’application réelle est exécutée en même temps que le malware MarkiRAT. Enfin, la troisième variante est une version détournée de Psiphon, un outil VPN open source souvent utilisé pour contourner la censure d’Internet. Kaspersky a également identifié des preuves que le groupe avait développé des virus malveillants ciblant les appareils Android, bien que les chercheurs n’aient pas été en mesure d’obtenir des échantillons spécifiques pour l’analyse.

Les victimes de cette campagne résident en Iran et parlent persan. Le contenu des documents leurres suggère que les pirates prennent spécifiquement pour cible les partisans des mouvements de contestation à l’intérieur du pays.

« Bien que le malware MarkiRAT et l’ensemble des outils qui l’accompagnent ne soient pas particulièrement sophistiqués, il est intéressant de noter que le groupe ait créé des variantes aussi spécialisées visant Chrome et Telegram. Cela démontre que les cyber assaillants se concentrent davantage sur l’adaptation de leurs outils existants aux environnements ciblés plutôt que sur le développement de nouvelles fonctionnalités et capacités. Il est également tout à fait possible que le groupe mène plusieurs campagnes simultanées ciblant différentes plateformes », commente Mark Lechtik, Senior Security Researcher au sein du GReAT.

« Nous avons également identifié une variante simple et plus récente utilisant un téléchargeur en lieu et place d’une charge utile. Cela suggère que le groupe est toujours très actif et pourrait être en train de modifier ses tactiques, techniques et procédures », ajoute Paul Rascagneres, Senior Security Researcher au sein du GReAT.

« La victimologie et les tactiques, techniques et procédures (TPT) de Ferocious Kitten sont similaires à celles d’autres acteurs de la région, comme Domestic Kitten et Rampant Kitten. Ensemble, ils forment en Iran un large écosystème de campagnes de surveillance. Ces groupes de menaces ne semblent pas être fréquemment répertoriés, ce qui leur permet de passer sous les radars durant de longues périodes et de réutiliser plus facilement leurs infrastructures et leurs outils », conclut Aseel Kayal, Security Researcher au sein du GReAT.

Pour protéger les employés votre organisation contre les menaces APT telles que Ferocious Kitten, Kaspersky recommande les actions suivantes :

Faire preuve de vigilance face aux e-mails ou aux messages malveillants, même convaincants et se maintenir informé des mesures de protection de la vie privée dans toutes les applications et tous les services que vous utilisez.

Ne pas cliquer sur les liens issus de sources inconnues et ne pas ouvrir de fichiers ou de pièces jointes suspects.

Toujours installer les mises à jour. Certains d’entre elles peuvent contenir des correctifs pour les problèmes de sécurité critiques.

Utiliser une solution de sécurité robuste et adaptée à système et à vos appareils, telle que Kaspersky Internet Security ou Kaspersky Security Cloud.

Pour en savoir plus, consultez www.kaspersky.com.




Voir les articles précédents

    

Voir les articles suivants