L’acteur iranien connu sous le nom d’État-nation Eau boueuse a exploité un cadre de commandement et de contrôle (C2) récemment découvert appelé MuddyC2Go dans ses attaques contre le secteur des télécommunications en Égypte, au Soudan et en Tanzanie.
L’équipe Symantec Threat Hunter, qui fait partie de Broadcom, est suivi l’activité sous le nom de Seedworm, qui est également suivie sous les surnoms Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anciennement Mercury), Static Kitten, TEMP.Zagros et Yellow Nix.
Actif depuis au moins 2017, MuddyWater est considéré comme étant affilié au ministère iranien du renseignement et de la sécurité (Vevak), ciblant principalement les entités du Moyen-Orient.
L’utilisation de MuddyC2Go par le groupe de cyberespionnage a été soulignée pour la première fois par Deep Instinct le mois dernier, le décrivant comme un remplacement basé sur Golang de PhonyC2, lui-même successeur de MuddyC3. Cependant, certains éléments suggèrent qu’il pourrait avoir été utilisé dès 2020.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Bien que l’étendue des capacités de MuddyC2Go ne soit pas encore connue, l’exécutable est équipé d’un script PowerShell qui se connecte automatiquement au serveur C2 de Seedworm, donnant ainsi aux attaquants un accès à distance au système victime et évitant la nécessité d’une exécution manuelle par un opérateur.
La dernière série d’intrusions, qui ont eu lieu en novembre 2023, s’appuient également sur SimpleHelp et Venom Proxy, ainsi qu’un enregistreur de frappe personnalisé et d’autres outils accessibles au public.
Les chaînes d’attaque montées par le groupe ont fait leurs preuves en matière de militarisation des courriels de phishing et de vulnérabilités connues dans les applications non corrigées pour un accès initial, suivi d’opérations de reconnaissance, de mouvements latéraux et de collecte de données.
Dans les attaques documentées par Symantec ciblant une organisation de télécommunications anonyme, le lanceur MuddyC2Go a été exécuté pour établir un contact avec un serveur contrôlé par un acteur, tout en déployant également des logiciels d’accès à distance légitimes comme AnyDesk et SimpleHelp.
L’entité aurait déjà été compromise par l’adversaire plus tôt en 2023, au cours de laquelle SimpleHelp a été utilisé pour lancer PowerShell, fournir un logiciel proxy et également installer l’outil d’accès à distance JumpCloud.
« Dans une autre entreprise de télécommunications et de médias ciblée par les attaquants, plusieurs incidents de SimpleHelp ont été utilisés pour se connecter à l’infrastructure Seedworm connue », a noté Symantec. « Une construction personnalisée du Proxy venin hacktool a également été exécuté sur ce réseau, ainsi que le nouveau keylogger personnalisé utilisé par les attaquants dans cette activité.
En utilisant une combinaison d’outils sur mesure, vivant de l’extérieur et accessibles au public dans ses chaînes d’attaque, l’objectif est d’échapper à la détection le plus longtemps possible pour atteindre ses objectifs stratégiques, a déclaré la société.
« Le groupe continue d’innover et de développer ses outils lorsque cela est nécessaire afin de maintenir son activité sous les radars », a conclu Symantec. « Le groupe utilise encore largement PowerShell et les outils et scripts liés à PowerShell, soulignant la nécessité pour les organisations d’être conscientes de toute utilisation suspecte de PowerShell sur leurs réseaux. »
Ce développement intervient dans le cadre d’un groupe lié à Israël appelé Gonjeshke Darande (qui signifie « Moineau prédateur » en persan). revendiqué responsabilité pour une cyberattaque qui a perturbé « la majorité des pompes à essence dans tout l’Iran » en réponse à « l’agression de la République islamique et de ses mandataires dans la région ».
Le groupe, qui a réapparu en octobre 2023 après être resté silencieux pendant près d’un an, serait lié à la Direction du renseignement militaire israélien, ayant mené attaques destructrices en Iran, notamment installations sidérurgiques, les stations-serviceet les réseaux ferroviaires du pays.