09 novembre 2023RédactionCyberattaque/logiciel malveillant

Des acteurs étatiques iraniens ont été observés en utilisant un cadre de commandement et de contrôle (C2) jusqu’alors non documenté appelé BoueuxC2Go dans le cadre d’attaques visant Israël.

“Le composant Web du framework est écrit dans le langage de programmation Go”, a déclaré Simon Kenin, chercheur en sécurité chez Deep Instinct. dit dans un rapport technique publié mercredi.

L’outil a été attribué à Eau boueuseun iranien parrainé par l’État le piratage équipage qui est affilié au ministère du Renseignement et de la Sécurité (Vevak) du pays.

La cyber-sécurité

La société de cybersécurité a déclaré que le cadre C2 pourrait avoir été utilisé par l’acteur malveillant depuis début 2020, avec des attaques récentes l’exploitant à la place de PhonyC2, une autre plate-forme C2 personnalisée de MuddyWater qui a été révélée en juin 2023 et qui a son code source. fuite.

Les séquences d’attaques typiques observées au fil des années impliquent l’envoi d’e-mails de spear phishing contenant des archives contenant des logiciels malveillants ou de faux liens menant au déploiement d’outils d’administration à distance légitimes.

L’installation du logiciel d’administration à distance ouvre la voie à la livraison de charges utiles supplémentaires, dont PhonyC2.

Le modus operandi de MuddyWater a depuis fait peau neuve, en utilisant des archives protégées par mot de passe pour échapper aux solutions de sécurité de messagerie et en distribuant un exécutable au lieu d’un outil d’administration à distance.

“Cet exécutable contient un script PowerShell intégré qui se connecte automatiquement au C2 de MuddyWater, éliminant ainsi le besoin d’une exécution manuelle par l’opérateur”, a expliqué Kenin.

La cyber-sécurité

Le serveur MuddyC2Go, en retour, envoie un script PowerShell, qui s’exécute toutes les 10 secondes et attend d’autres commandes de l’opérateur.

Bien que l’étendue complète des fonctionnalités de MuddyC2Go soit inconnue, il est soupçonné d’être un framework chargé de générer des charges utiles PowerShell afin de mener des activités post-exploitation.

“Nous recommandons de désactiver PowerShell si cela n’est pas nécessaire”, a déclaré Kenin. “S’il est activé, nous recommandons une surveillance étroite de l’activité PowerShell.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57