Dust Specter Targets Iraqi Officials with New SPLITDROP and GHOSTFORM Malware

Menace “Dust Specter” : Campagne d’espionnage contre des officiels irakiens

Une campagne de cyberattaques ciblée, attribuée à un acteur malveillant lié à l’Iran et surnommé “Dust Specter”, a visé des responsables gouvernementaux en Irak. Utilisation de techniques d’ingénierie sociale pour usurper l’identité du Ministère des Affaires Étrangères irakien, la campagne déploie de nouveaux malwares tels que SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM.

Points Clés :

• Ciblage : Des officiels gouvernementaux en Irak.
• Attribution : Acteur malveillant lié à l’Iran (“Dust Specter”).
• Méthode d’infection : Faux documents (archives RAR protégées par mot de passe) et usurpation d’identité du Ministère des Affaires Étrangères irakien.
• Infrastructure compromise : Utilisation d’infrastructures gouvernementales irakiennes compromises pour héberger les charges utiles malveillantes.
• Nouveaux malwares : SPLITDROP, TWINTASK, TWINTALK, GHOSTFORM.
• Techniques avancées : Chemins d’URI générés aléatoirement avec checksums pour la communication C2, géolocalisation, vérification de l’User-Agent, évasion des détections, exécution de scripts PowerShell en mémoire, utilisation possible d’IA générative pour le développement de malwares.
• Évolution : Une deuxième chaîne d’attaque consolide les fonctionnalités de TWINTASK et TWINTALK dans GHOSTFORM, qui peut lancer des formulaires Google d’apparence officielle en arabe pour la collecte d’informations.
• Réutilisation : Le domaine C2 utilisé pour TWINTALK a également été utilisé dans une campagne antérieure pour héberger une fausse invitation à une réunion Cisco Webex, incitant les victimes à exécuter des scripts PowerShell.

Vulnérabilités exploitées :

Bien que des vulnérabilités spécifiques (avec des identifiants CVE) ne soient pas explicitement mentionnées dans l’article, la campagne repose sur :

• L’ingénierie sociale : Tromper les utilisateurs pour qu’ils ouvrent des fichiers malveillants ou exécutent des scripts.
• Le détournement de binaires légitimes : Utilisation de binaires légitimes comme vlc.exe et WingetUI.exe pour masquer le code malveillant (sideloading).

Recommandations :

• Vigilance accrue : Sensibiliser les utilisateurs aux techniques d’hameçonnage et d’ingénierie sociale, notamment les emails ou documents semblant provenir d’institutions officielles.
• Authentification forte : Mettre en place des mesures d’authentification robustes pour accéder aux systèmes et aux données sensibles.
• Mises à jour régulières : Maintenir les systèmes d’exploitation et les logiciels à jour pour corriger les vulnérabilités connues.
• Surveillance du réseau : Déployer des solutions de sécurité avancées pour détecter les communications C2 suspectes et les comportements anormaux.
• Analyse des journaux : Examiner régulièrement les journaux d’événements pour identifier toute activité suspecte.
• Prudence avec les scripts : Évaluer attentivement tout script PowerShell avant son exécution, surtout s’il est reçu via des canaux non fiables.

Source