1 099 / 5 000

L’acteur menaçant parrainé par l’État iranien connu sous le nom de MuddyWater a été attribué à un nouvel essaim d’attaques visant la Turquie et la péninsule arabique dans le but de déployer des chevaux de Troie d’accès à distance (RAT) sur des systèmes compromis. « Le supergroupe MuddyWater est très motivé et peut utiliser un accès non autorisé pour espionner, voler la propriété intellectuelle et déployer des rançongiciels et des logiciels malveillants destructeurs dans une entreprise », ont déclaré les chercheurs de Cisco Talos, Asheer Malhotra, Vitor Ventura et Arnaud Zobec dans un rapport publié aujourd’hui. Le groupe, qui est actif depuis au moins 2017, est connu pour ses attaques contre divers secteurs qui contribuent à faire progresser les objectifs géopolitiques et de sécurité nationale de l’Iran. En janvier 2022, le U.S. Cyber ​​Command a attribué l’acteur au ministère du renseignement et de la sécurité (MOIS) du pays. MuddyWater est également considéré comme un « conglomérat de plusieurs équipes opérant indépendamment plutôt qu’un seul groupe d’acteurs menaçants », a ajouté la société de cybersécurité, ce qui en fait un acteur parapluie dans la veine de Winnti, une menace persistante avancée (APT) basée en Chine.

Les dernières campagnes entreprises par l’équipe de piratage impliquent l’utilisation de documents contenant des logiciels malveillants transmis via des messages de phishing pour déployer un cheval de Troie d’accès à distance appelé SloughRAT (alias Canopy par CISA) capable d’exécuter du code arbitraire et des commandes reçues de son système de commande et de contrôle ( C2) serveurs.

Le maldoc, un fichier Excel contenant une macro malveillante, déclenche la chaîne d’infection pour déposer deux fichiers de script Windows (.WSF) sur le point de terminaison, le premier d’entre eux servant d’instrument pour appeler et exécuter la charge utile de l’étape suivante.

Deux implants supplémentaires basés sur des scripts ont également été découverts, l’un écrit en Visual Basic et l’autre codé en JavaScript, tous deux conçus pour télécharger et exécuter des commandes malveillantes sur l’hôte compromis.

En outre, la dernière série d’intrusions marque la poursuite d’une campagne de novembre 2021 qui a frappé des organisations privées et des institutions gouvernementales turques avec des portes dérobées basées sur PowerShell pour recueillir des informations auprès de ses victimes, même si elle présente des chevauchements avec une autre campagne qui a eu lieu en mars 2021.

Les points communs dans les tactiques et les techniques adoptées par les opérateurs ont soulevé la possibilité que ces attaques soient des « groupes d’activités distincts, mais liés », les campagnes tirant parti d’un « paradigme de partage TTP plus large, typique des équipes opérationnelles coordonnées », les chercheurs c’est noté.

Dans une deuxième séquence d’attaque partielle observée par Cisco Talos entre décembre 2021 et janvier 2022, l’adversaire a mis en place des tâches planifiées pour récupérer des téléchargeurs malveillants basés sur VBS, qui permettent l’exécution de charges utiles récupérées à partir d’un serveur distant. Les résultats de la commande sont ensuite exfiltrés vers le serveur C2.

« Bien qu’elles partagent certaines techniques, ces campagnes dénotent également l’individualité dans la manière dont elles ont été menées, indiquant l’existence de plusieurs sous-équipes sous le parapluie de Muddywater – partageant toutes un ensemble de tactiques et d’outils parmi lesquels choisir », ont conclu les chercheurs. .

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *