News
Bitdefender met en garde contre de nouvelles attaques APT soutenues par l’Iran
avril 2023 par Bitdefender
Le 26 avril, Bitdefender a publié une étude mettant en garde contre une campagne active menée par le groupe APT Charming Kitten (alias Mint Sandstorm) soutenu par l’Iran et utilisant un nouveau malware baptisé BellaCiao.
BellaCiao est un backdoor/dropper utilisé pour diffuser d’autres formes de malwares à des fins d’espionnage, de vol de données, de ransomware et d’extorsion. Il cible des organisations aux États-Unis, en Europe, en Turquie, en Israël et en Inde. En gros, une fois le système de la victime infecté, BellaCiao se fait passer pour un processus légitime sans être détecté et attend d’autres instructions de la part des attaquants.
BellaCiao est extrêmement sophistiqué et utilise des techniques inédites pour recevoir des instructions de l’APT afin d’installer des logiciels malveillants supplémentaires via des adresses IP imitées avec des chaînes de hardcode (des chaînes de codes « dur » c’est-à-dire non modifiables) qui permettent de déployer des logiciels malveillants supplémentaires sans passer par un téléchargement classique.
Le nouveau logiciel malveillant est adapté à chaque cible. Il utilise une approche de communication unique avec son infrastructure de commandement et de contrôle (C2).
La recherche de BellaCiao est un exemple d’attaque opportuniste. Dans une attaque opportuniste, l’attaquant n’a pas nécessairement une cible spécifique à l’esprit, mais recherche plutôt tout système vulnérable qu’il peut exploiter. Ce type d’attaque est particulièrement efficace contre les systèmes qui ne sont pas bien entretenus, dont les logiciels ou les correctifs de sécurité sont obsolètes, dont les mots de passe sont faibles ou, dans de nombreux cas, contre les petites entreprises qui n’ont pas de capacités de détection et de réaction.
Lorsque l’équipe d’analystes Bitdefender a examiné les victimes de cette campagne, elle a trouvé un large éventail de secteurs d’activité et de tailles d’entreprises. Avec la popularité croissante des exploits de vulnérabilité et des attaques automatisées, même les petites entreprises peuvent devenir une cible pour les acteurs de la menace affiliés à un État.
L’élément nouveau de BellaCiao est la façon dont il reçoit les instructions du serveur C2 des attaquants. BellaCiao demande à l’ordinateur infecté d’effectuer une requête DNS en son nom toutes les 24 heures afin de résoudre un sous-domaine au moyen d’une chaîne codée en dur unique pour chaque victime. Le serveur DNS contrôlé par l’attaquant renvoie une adresse IP résolue (qui est similaire à l’adresse IP publique réelle) avec des instructions que BellaCiao doit décoder. Ces instructions permettent de déployer d’autres logiciels malveillants, sans qu’il soit nécessaire de les télécharger.
