Le groupe TA456 affilié à l’état iranien se fait passer pour une jeune femme nommée Marcella Flores

0

Les chercheurs de Proofpoint ont identifié une nouvelle campagne d’ingénierie sociale et de logiciels malveillants menée par TA456, acteur affilié à l’État iranien.

Se faisant passer pour une jeune femme sous le pseudonyme de « Marcella Flores », TA456 a établi une relation avec un employé d’une filiale d’un contractant en défense aérospatiale, via des échanges personnels et professionnels. Début juin 2021, l’acteur de la menace a tenté de tirer parti de cette relation en lui envoyant un logiciel malveillant par email. Le contenu du message était personnalisé, mais était en réalité chargé de macros et conçu pour effectuer une reconnaissance sur la machine de la cible. Une fois que le malware, qui est une version actualisée de Liderc, s’est établi, il peut effectuer une reconnaissance sur la machine infectée, enregistrer les détails personnels sur l’hôte, exfiltrer des informations sensibles vers un compte de messagerie contrôlé par l’acteur via SMTPS, puis couvrir ses traces en supprimant les artefacts du jour.

Baptisé LEMPO par Proofpoint, ce malware a été conçu pour exfiltrer des données sensibles. Choisissant avec précision sa cible, le groupe vise activement les petites filiales et contractants pour, in fine, compromettre de plus grands acteurs de la défense.

Cette campagne illustre la nature persistante de certaines menaces d’origine étatique et l’importance de l’engagement humain pour mener à bien leurs opérations d’espionnage. À la mi-juillet, Facebook a interrompu un réseau similaire qu’il attribuait à Tortoiseshell. Cet acteur serait affilié au Corps des gardiens de la révolution islamique (IRGC) via une association avec la société iranienne Mahak Rayan Afraz (MRA).

Selon Sherrod De Grippo Sherrod De Grippo, Directrice Menaces Émergentes au sein de Proofpoint: « Chez Proofpoint, nous détectons régulièrement des campagnes menées par TA456 contre des entreprises de l’industrie de la défense, en particulier celles impliquées dans l’ingénierie aérospatiale. Sur le plan opérationnel, nous constations actuellement que ces menaces ont pour but de soutenir les efforts d’espionnage iraniens et les cibles des attaques phishing travaillent presque toutes dans la base industrielle de la défense, soutenant les efforts des États-Unis au Moyen-Orient. »

Bien que ce type d’attaque ne soit pas une nouveauté pour TA456, cette campagne fait de ce groupe l’un des acteurs iraniens les plus déterminés dont Proofpoint suit de près l’activité.

Si vous souhaitez en savoir plus sur ce type de menace, je vous invite à consulter le dernier blog Proofpoint.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.