Accueil La cyber-sécurité L’entreprise iranienne MuddyWater cible Israël dans le cadre d’une nouvelle campagne de cyberhameçonnage

L’entreprise iranienne MuddyWater cible Israël dans le cadre d’une nouvelle campagne de cyberhameçonnage

0
L’entreprise iranienne MuddyWater cible Israël dans le cadre d’une nouvelle campagne de cyberhameçonnage


02 novembre 2023RédactionCyberattaque/logiciel malveillant

Cybercampagne de spear-phishing

L’acteur iranien connu sous le nom d’État-nation Eau boueuse a été lié à une nouvelle campagne de spear phishing ciblant deux entités israéliennes pour finalement déployer un outil d’administration à distance légitime de N-able appelé Agent de surveillance avancé.

La société de cybersécurité Deep Instinct, qui a divulgué les détails des attaques, dit la campagne « présente des TTP mis à jour par rapport à l’activité MuddyWater précédemment signalée », qui a, dans le passé, utilisé des chaînes d’attaque similaires pour distribuer d’autres outils d’accès à distance comme ScreenConnect, RemoteUtilities, Syncroet Aide simple.

Bien que ce dernier développement marque la première fois que MuddyWater est observé à l’aide du logiciel de surveillance à distance de N-able, il souligne également le fait que le mode opératoire largement inchangé continue de générer un certain succès pour l’acteur malveillant.

La cyber-sécurité

Les résultats ont également été confirmés séparément par la société de cybersécurité Group-IB dans un rapport. poste partagé sur X (anciennement Twitter).

Le groupe parrainé par l’État est un équipe de cyberespionnage il s’agirait d’un élément subordonné au sein du ministère iranien du renseignement et de la sécurité (Vevak), rejoignant d’autres groupes affiliés au Vevak comme Plate-forme pétrolière, Lycée, Agriuset Manticore balafrée. Il est actif depuis au moins 2017.

Les séquences d’attaques précédentes impliquaient l’envoi d’e-mails de spear phishing contenant des liens directs ainsi que des pièces jointes HTML, PDF et RTF contenant des liens vers des archives hébergées sur diverses plates-formes de partage de fichiers qui, en fin de compte, abandonnaient l’un des outils d’administration à distance susmentionnés.

Les dernières tactiques et outils représentent à certains égards une continuation, et à d’autres égards une évolution, pour le groupe connu sous le nom de Mango Sandstorm et Static Kitten.

Ce qui est différent cette fois-ci, c’est l’utilisation d’un nouveau service de partage de fichiers appelé Storyblok pour lancer un vecteur d’infection en plusieurs étapes.

« Il contient des fichiers cachés, un fichier LNK qui lance l’infection et un fichier exécutable conçu pour afficher un document leurre lors de l’exécution d’Advanced Monitoring Agent, un outil d’administration à distance », a déclaré le chercheur en sécurité Simon Kenin dans une analyse publiée mercredi.

La cyber-sécurité

« Une fois la victime infectée, l’opérateur de MuddyWater se connectera à l’hôte infecté à l’aide de l’outil d’administration à distance légitime et commencera à effectuer une reconnaissance de la cible. »

Le document de leurre présenté à la victime est un mémo officiel de la Commission de la fonction publique israélienne, qui peut être téléchargé publiquement depuis son site officiel.

Signe supplémentaire de l’amélioration rapide des capacités cybernétiques malveillantes de l’Iran, Deep Instinct a déclaré avoir également repéré les acteurs de MuddyWater tirant parti d’un nouveau cadre de commandement et de contrôle (C2) appelé MuddyC2Go, un successeur de MuddyC3 et PhonyC2.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici