{"id":1241321,"date":"2024-07-16T17:34:02","date_gmt":"2024-07-16T19:34:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-deploient-une-nouvelle-porte-derobee-bugsleep-dans-le-cadre-de-cyberattaques-au-moyen-orient\/"},"modified":"2024-07-16T17:34:07","modified_gmt":"2024-07-16T19:34:07","slug":"des-pirates-informatiques-iraniens-deploient-une-nouvelle-porte-derobee-bugsleep-dans-le-cadre-de-cyberattaques-au-moyen-orient","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-deploient-une-nouvelle-porte-derobee-bugsleep-dans-le-cadre-de-cyberattaques-au-moyen-orient\/","title":{"rendered":"Des pirates informatiques iraniens d\u00e9ploient une nouvelle porte d\u00e9rob\u00e9e BugSleep dans le cadre de cyberattaques au Moyen-Orient"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-pirates-informatiques-iraniens-deploient-une-nouvelle-porte-derobee-BugSleep.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur \u00e9tatique iranien connu sous le nom de MuddyWater a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser une porte d\u00e9rob\u00e9e jamais vue auparavant dans le cadre d&#8217;une r\u00e9cente campagne d&#8217;attaque, s&#8217;\u00e9loignant de sa tactique bien connue consistant \u00e0 d\u00e9ployer un logiciel l\u00e9gitime de surveillance et de gestion \u00e0 distance (RMM) pour maintenir un acc\u00e8s persistant.<\/p>\n<p>C&#8217;est ce que r\u00e9v\u00e8lent des conclusions ind\u00e9pendantes des soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 Check Point et Sekoia, qui ont donn\u00e9 \u00e0 cette souche de malware le nom de code <strong>BugSleep<\/strong> et <strong>Pourriture boueuse<\/strong>respectivement.<\/p>\n<p>\u00ab Par rapport aux campagnes pr\u00e9c\u00e9dentes, cette fois, MuddyWater a modifi\u00e9 sa cha\u00eene d&#8217;infection et ne s&#8217;est pas appuy\u00e9 sur l&#8217;outil l\u00e9gitime de surveillance et de gestion \u00e0 distance (RRM) d&#8217;Atera comme validateur \u00bb, a d\u00e9clar\u00e9 Sekoia. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/muddywater-replaces-atera-by-custom-muddyrot-implant-in-a-recent-campaign\/\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News. \u00ab Au lieu de cela, nous avons observ\u00e9 qu&#8217;ils utilisaient un nouvel implant non document\u00e9. \u00bb<\/p>\n<p>Certains \u00e9l\u00e9ments de la campagne ont \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/x.com\/ClearskySec\/status\/1799829814011994120\" target=\"_blank\">premier partag\u00e9<\/a> par la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 ClearSky le 9 juin 2024. Les cibles incluent des pays comme la Turquie, l&#8217;Azerba\u00efdjan, la Jordanie, l&#8217;Arabie saoudite, Isra\u00ebl et le Portugal.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>MuddyWater (alias Boggy Serpens, Mango Sandstorm et TA450) est un acteur de menace parrain\u00e9 par l&#8217;\u00c9tat qui est consid\u00e9r\u00e9 comme affili\u00e9 au minist\u00e8re iranien du renseignement et de la s\u00e9curit\u00e9 (MOIS).<\/p>\n<p>Les cyberattaques lanc\u00e9es par le groupe ont \u00e9t\u00e9 assez coh\u00e9rentes, exploitant des leurres de spear-phishing dans les messages \u00e9lectroniques pour diffuser divers outils RMM comme Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp et Syncro.<\/p>\n<p>D\u00e9but avril, HarfangLab a d\u00e9clar\u00e9 avoir constat\u00e9 une augmentation des campagnes MuddyWater diffusant Atera Agent depuis fin octobre 2023 aupr\u00e8s d&#8217;entreprises en Isra\u00ebl, en Inde, en Alg\u00e9rie, en Turquie, en Italie et en \u00c9gypte. Les secteurs cibl\u00e9s comprennent les compagnies a\u00e9riennes, les soci\u00e9t\u00e9s informatiques, les t\u00e9l\u00e9communications, l&#8217;industrie pharmaceutique, la fabrication automobile, la logistique, les voyages et le tourisme.<\/p>\n<p>\u00ab MuddyWater accorde une grande priorit\u00e9 \u00e0 l&#8217;acc\u00e8s aux comptes de messagerie des entreprises dans le cadre de ses campagnes d&#8217;attaque en cours \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 fran\u00e7aise de cybers\u00e9curit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/harfanglab.io\/en\/insidethelab\/muddywater-rmm-campaign\/\" target=\"_blank\">not\u00e9<\/a> \u00e0 l&#8217;\u00e9poque.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721158442_524_Des-pirates-informatiques-iraniens-deploient-une-nouvelle-porte-derobee-BugSleep.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721158442_524_Des-pirates-informatiques-iraniens-deploient-une-nouvelle-porte-derobee-BugSleep.png\" alt=\"Cyberattaques au Moyen-Orient\" border=\"0\" data-original-height=\"414\" data-original-width=\"728\" title=\"Cyberattaques au Moyen-Orient\"\/><\/a><\/div>\n<p>\u00ab Ces comptes compromis constituent des ressources pr\u00e9cieuses, permettant au groupe d&#8217;am\u00e9liorer la cr\u00e9dibilit\u00e9 et l&#8217;efficacit\u00e9 de ses efforts d&#8217;hame\u00e7onnage cibl\u00e9, d&#8217;\u00e9tablir une certaine persistance au sein des organisations cibl\u00e9es et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection en se fondant dans le trafic r\u00e9seau l\u00e9gitime. \u00bb<\/p>\n<p>Les derni\u00e8res cha\u00eenes d&#8217;attaque ne sont pas diff\u00e9rentes dans la mesure o\u00f9 des comptes de messagerie compromis appartenant \u00e0 des entreprises l\u00e9gitimes sont utilis\u00e9s pour envoyer des messages de spear-phishing contenant soit un lien direct, soit une pi\u00e8ce jointe PDF pointant vers un sous-domaine Egnyte, qui a d\u00e9j\u00e0 \u00e9t\u00e9 abus\u00e9 par l&#8217;acteur de la menace pour propager Atera Agent.<\/p>\n<p>BugSleep, alias MuddyRot, est un implant x64 d\u00e9velopp\u00e9 en C qui est \u00e9quip\u00e9 de fonctionnalit\u00e9s permettant de t\u00e9l\u00e9charger\/t\u00e9l\u00e9charger des fichiers arbitraires vers\/depuis l&#8217;h\u00f4te compromis, de lancer un shell invers\u00e9 et de configurer la persistance. Les communications avec un serveur de commande et de contr\u00f4le (C2) s&#8217;effectuent via un socket TCP brut sur le port 443.<\/p>\n<p>\u00ab Le premier message envoy\u00e9 au C2 est l&#8217;empreinte digitale de l&#8217;h\u00f4te de la victime, qui est la combinaison du nom d&#8217;h\u00f4te et du nom d&#8217;utilisateur reli\u00e9s par une barre oblique \u00bb, a expliqu\u00e9 Sekoia. \u00ab Si la victime re\u00e7oit \u00ab -1 \u00bb, le programme s&#8217;arr\u00eate, sinon le malware entre dans une boucle infinie pour attendre un nouvel ordre du C2. \u00bb<\/p>\n<p>On ne sait pas encore clairement pourquoi MuddyWater a opt\u00e9 pour un implant sur mesure, mais on soup\u00e7onne que la surveillance accrue des outils RMM par les fournisseurs de s\u00e9curit\u00e9 a pu jouer un r\u00f4le.<\/p>\n<p>\u00ab L&#8217;activit\u00e9 accrue de MuddyWater au Moyen-Orient, en particulier en Isra\u00ebl, met en \u00e9vidence la nature persistante de ces acteurs de la menace, qui continuent d&#8217;op\u00e9rer contre une grande vari\u00e9t\u00e9 de cibles dans la r\u00e9gion \u00bb, a d\u00e9clar\u00e9 Check Point. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2024\/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab Leur utilisation constante de campagnes de phishing, int\u00e9grant d\u00e9sormais une porte d\u00e9rob\u00e9e personnalis\u00e9e, BugSleep, marque une \u00e9volution notable dans leurs techniques, tactiques et proc\u00e9dures (TTP). \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/iranian-hackers-deploy-new-bugsleep.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur \u00e9tatique iranien connu sous le nom de MuddyWater a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser une porte d\u00e9rob\u00e9e jamais vue auparavant dans le cadre d&#8217;une r\u00e9cente campagne d&#8217;attaque, s&#8217;\u00e9loignant de sa tactique bien connue consistant \u00e0 d\u00e9ployer un logiciel l\u00e9gitime de surveillance et de gestion \u00e0 distance (RMM) pour maintenir un acc\u00e8s persistant. C&#8217;est ce [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1241322,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,242080,4176,4168,4165,6124,429,16028,7084,133,8154,10783,238584,200271,238334,98340,38053,197,4394,2742,238617,4172,4169,196,4166,238583],"class_list":["post-1241321","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-bugsleep","tag-cadre","tag-comment-pirater","tag-cyber-attaques","tag-cyberattaques","tag-dans","tag-deploient","tag-derobee","tag-des","tag-informatiques","tag-iraniens","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-moyenorient","tag-nouvelle","tag-pirates","tag-porte","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1241321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1241321"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1241321\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1241322"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1241321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1241321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1241321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}