CRESCENTHARVEST Campaign Targets Iran Protest Supporters With RAT Malware

Campagne CRESCENTHARVEST : Espionnage ciblant les soutiens aux manifestations iraniennes

Une campagne de cybersécurité nommée CRESCENTHARVEST a été détectée, visant spécifiquement les soutiens aux manifestations en Iran. L’objectif principal est le vol d’informations et l’espionnage à long terme, en exploitant les événements géopolitiques récents pour inciter les victimes à ouvrir des fichiers malveillants.

Ces attaques distribuent un cheval de Troie d’accès à distance (RAT) capable d’exécuter des commandes, d’enregistrer les frappes au clavier et d’exfiltrer des données sensibles. La campagne, bien que non attribuée officiellement, est présumée être l’œuvre d’un groupe de menaces aligné sur l’Iran. Elle s’inscrit dans une tendance plus large d’opérations d’espionnage cybernétique par des acteurs étatiques ciblant des individus perçus comme des opposants.

Points Clés :

• Ciblage : Soutiens des manifestations en Iran, individus d’origine iranienne parlant le farsi et favorables aux mouvements de protestation.
• Méthode d’Appât : Exploitation de l’actualité des manifestations iraniennes, utilisant des fichiers .LNK déguisés en images ou vidéos de protestation, accompagnés de rapports en farsi sur “les villes rebelles d’Iran”.
• Technique d’Ingénierie Sociale : Utilisation de fausses identités et développement de relations avec les victimes sur la durée avant l’envoi des charges utiles malveillantes.
• Vecteur d’Accès Initial : Présumé être le spear-phishing ou des efforts prolongés d’ingénierie sociale, bien que le vecteur exact ne soit pas connu.
• Charge Utile Malveillante : Un archive RAR contenant des fichiers .LNK qui, une fois exécutés, déclenchent l’installation d’un RAT.
• Détournement de Binaires Légitimes : Utilisation d’un binaire signé par Google (“software_reporter_tool.exe”) pour charger des DLL malveillantes (DLL side-loading).
• Objectifs du RAT : Collecte d’informations système, identifiants de navigateur, données de session Telegram, historique du navigateur, cookies, et exécution de commandes shell et PowerShell.
• Communication C2 : Utilisation des API Windows Win HTTP pour communiquer avec le serveur de commande et contrôle (“servicelog-information[.]com”).

Vulnérabilités et Techniques Exploités :

• Ingénierie sociale avancée : Exploitation de la crédulité et des préoccupations politiques des victimes.
• Utilisation de fichiers .LNK malveillants : Technique courante pour exécuter du code arbitraire.
• DLL Side-Loading : Charger des bibliothèques DLL non fiables via des exécutables légitimes pour masquer les activités malveillantes.
• Extraction de clés de chiffrement : La DLL urtcbased140d_d.dll est capable d’extraire et de déchiffrer les clés de chiffrement des applications liées à Chrome via des interfaces COM. Des chevauchements avec le projet open-source ChromElevator sont notés.
• Collecte d’informations sensibles : Vol d’identifiants de navigateur, données Telegram, historique, cookies, et métadonnées système.

Recommandations :

• Prudence accrue lors de l’ouverture de fichiers : Faire preuve de scepticisme face aux pièces jointes et aux liens inattendus, même s’ils semblent liés à des sujets d’actualité importants.
• Vérification de l’expéditeur et du contenu : S’assurer de la légitimité de l’expéditeur et du contenu avant d’ouvrir tout fichier, en particulier ceux provenant de sources inconnues ou non vérifiées.
• Mise à jour des logiciels de sécurité : Maintenir à jour les antivirus et autres solutions de sécurité pour détecter et bloquer les menaces connues.
• Sensibilisation aux techniques d’ingénierie sociale : Être conscient des méthodes utilisées par les acteurs de menaces pour manipuler les utilisateurs, telles que l’urgence, l’appâtage basé sur l’actualité ou des offres alléchantes.
• Authentification multifacteur : Activer l’authentification multifacteur sur tous les comptes pour une protection supplémentaire.

Source