Le groupe de piratage MuddyWatter soutenu par l’Iran est partiellement passé à l’utilisation d’un nouveau logiciel malveillant personnalisé pour voler des fichiers et exécuter des commandes sur des systèmes compromis.
Baptisée BugSleep, cette porte dérobée personnalisée est toujours en cours de développement et a été découverte par les analystes de Check Point Research alors qu’elle était distribuée via des leurres de phishing bien conçus.
La campagne pousse le malware via des e-mails de phishing déguisés en invitations à des webinaires ou à des cours en ligne. Les courriels redirigent les cibles vers des archives contenant des charges utiles malveillantes hébergées sur la plate-forme sécurisée de partage de fichiers Egnyte.
Certaines versions trouvées dans la nature sont également livrées avec un chargeur de logiciels malveillants personnalisé conçu pour l’injecter dans les processus actifs d’une poignée d’applications, notamment Microsoft Edge, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell et Opera.
« Nous avons découvert plusieurs versions du malware distribué, avec des différences entre chaque version montrant des améliorations et des corrections de bogues (et créant parfois de nouveaux bogues) », a déclaré Check Point. « Ces mises à jour, qui se produisent à de courts intervalles entre les échantillons, suggèrent une approche par essais et erreurs. »
Avec le passage à BugSleep, MuddyWatter est passé de l’utilisation exclusive d’outils de gestion à distance légitimes (RMM) comme Atera Agent et Screen Connect pour maintenir l’accès aux réseaux des victimes.
Les attaques utilisant ce nouveau malware ciblent un large éventail de cibles dans le monde entier, des organisations gouvernementales et des municipalités aux compagnies aériennes et aux médias, en ciblant Israël et certaines en Turquie, en Arabie saoudite, en Inde et au Portugal.
Exposés en tant que pirates informatiques de l’agence de renseignement iranienne
MuddyWatter (également connu sous le nom de Earth Vetala, MERCURY, Static Kitten et Seedworm) a été vu pour la première fois en 2017. Il est connu pour cibler principalement les entités du Moyen-Orient (en mettant l’accent sur les cibles israéliennes) et améliorer continuellement son arsenal.
Bien que relativement nouveau par rapport à d’autres groupes de piratage soutenus par l’État, ce groupe de menaces iranien est très actif et cible de nombreux secteurs industriels, notamment les télécommunications, le gouvernement (services informatiques) et les organisations de l’industrie pétrolière.
Depuis qu’il a fait surface, il a lentement étendu ses attaques aux campagnes de cyberespionnage contre des entités gouvernementales et de défense en Asie centrale et du Sud-Ouest, ainsi que des organisations d’Amérique du Nord, d’Europe et d’Asie [1, 2, 3].
En janvier 2022, le Cyber Command américain (USCYBERCOM) a officiellement lié MuddyWatter au ministère iranien du Renseignement et de la Sécurité (MOIS), la principale agence de renseignement gouvernementale du pays.
Un mois plus tard, les agences de cybersécurité et d’application de la loi américaines et britanniques ont exposé d’autres logiciels malveillants MuddyWater, une nouvelle porte dérobée Python baptisée Small Sieve déployée pour maintenir la persistance et échapper à la détection dans les réseaux compromis.