L’acteur iranien connu sous le nom d’État-nation Eau boueuse a été lié à une nouvelle campagne de spear phishing ciblant deux entités israéliennes pour finalement déployer un outil d’administration à distance légitime de N-able appelé Agent de surveillance avancé.
La société de cybersécurité Deep Instinct, qui a divulgué les détails des attaques, dit la campagne « présente des TTP mis à jour pour l’activité MuddyWater précédemment signalée », qui a, dans le passé, utilisé des chaînes d’attaque similaires pour distribuer d’autres outils d’accès à distance tels que ScreenConnect, RemoteUtilities, Syncro et SimpleHelp.
Bien que ce dernier développement marque la première fois que MuddyWater est observé à l’aide du logiciel de surveillance à distance de N-able, il souligne également le fait que le mode opératoire largement inchangé continue de donner un certain succès à l’acteur malveillant.
Les résultats ont également été confirmés séparément par la société de cybersécurité Group-IB dans un rapport. poste partagé sur X (anciennement Twitter).
Le groupe parrainé par l’État est une équipe de cyberespionnage qui serait un élément subordonné au sein du ministère iranien du renseignement et de la sécurité (VEVAK), rejoignant d’autres groupes affiliés au Vevak comme OilRig, Lyceum, Agrius et Scarred Manticore. Il est actif depuis au moins 2017.
Les séquences d’attaques précédentes impliquaient l’envoi d’e-mails de spear phishing contenant des liens directs ainsi que des pièces jointes HTML, PDF et RTF contenant des liens vers des archives hébergées sur diverses plates-formes de partage de fichiers qui, en fin de compte, abandonnaient l’un des outils d’administration à distance susmentionnés.
Les dernières tactiques et outils représentent à certains égards une continuation, et à d’autres égards une évolution, pour le groupe connu sous le nom de Mango Sandstorm et Static Kitten.
Ce qui est différent cette fois-ci, c’est l’utilisation d’un nouveau service de partage de fichiers appelé Storyblok pour lancer un vecteur d’infection en plusieurs étapes.
« Il contient des fichiers cachés, un fichier LNK qui lance l’infection et un fichier exécutable conçu pour afficher un document leurre lors de l’exécution d’Advanced Monitoring Agent, un outil d’administration à distance », a déclaré le chercheur en sécurité Simon Kenin dans une analyse publiée mercredi.
« Une fois la victime infectée, l’opérateur de MuddyWater se connectera à l’hôte infecté à l’aide de l’outil d’administration à distance légitime et commencera à effectuer une reconnaissance de la cible. »
Le document de leurre présenté à la victime est un mémo officiel de la Commission de la fonction publique israélienne, qui peut être téléchargé publiquement depuis son site officiel.
Autre signe de l’amélioration rapide des cybercapacités malveillantes de l’Iran, Deep Instinct a déclaré avoir également repéré les acteurs de MuddyWater tirant parti d’un nouveau cadre de commande et de contrôle (C2) appelé MuddyC2Go, successeur de MuddyC3 et PhonyC2.