Les chercheurs de la société Proofpoint, leader dans les domaines de la cybersécurité et de la conformité, publient aujourd’hui de nouvelles recherches sur les agissements de l’acteur de la menace TA453 (alias Charming Kitten), aligné sur l’État iranien.
Tribune – Ces recherches démontrent comment le groupe a adopté de nouveaux outils et de nouvelles techniques d’attaque, comment il déploie de nouveaux types de fichiers compromis et comment le groupe cible de nouveaux systèmes d’exploitation en envoyant spécifiquement des logiciels malveillants Mac à leurs victimes.
Les conclusions de ces recherches montrent aussi comment le groupe cible de plus en plus les experts de la sûreté nucléaire.
Les principales conclusions de ces recherches sont les suivantes :
- Dans de nouvelles campagnes, TA453 s’est fait passer pour un directeur de la recherche du Royal United Services Institute (RUSI) afin de cibler certains médias et leur proposer d’être mis en relation avec un expert en sécurité nucléaire appartenant à un groupe de réflexion basé aux États-Unis et spécialisé en affaires internationales. L’acteur continue également d’itérer et d’utiliser des messages bénins pour cibler les experts des affaires du Moyen-Orient et de la sûreté nucléaire.
- L’acteur de la menace continue d’adapter son arsenal de logiciels malveillants, déployant de nouveaux types de fichiers et ciblant de nouveaux systèmes d’exploitation, en envoyant spécifiquement des logiciels malveillants Mac à l’une de ses cibles récentes.
- Le groupe a adopté une approche multicloud pour perturber les efforts des chasseurs de menaces, comme en témoigne l’utilisation par l’acteur de Google Scripts, Dropbox et CleverApps.
- TA453 continue de travailler vers ses mêmes objectifs finaux de reconnaissance intrusive et non autorisée : il déploie des portes dérobées modulaires pour recueillir des renseignements auprès d’individus hautement ciblés.
- L’arrêt des macros VBA par Microsoft a entraîné un changement dans la technique d’attaque — en mai 2023, TA453 a commencé à déployer des chaînes d’infection LNK au lieu de documents Microsoft Word avec des macros.
L’intégralité de cette recherche est disponible ici : https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware