Les agences de cybers\u00e9curit\u00e9 du Royaume-Uni et des \u00c9tats-Unis ont mis \u00e0 nu un nouveau logiciel malveillant utilis\u00e9 par le groupe APT (Advanced Persistent Threat) parrain\u00e9 par le gouvernement iranien dans des attaques ciblant les r\u00e9seaux gouvernementaux et commerciaux dans le monde entier.<\/p>\n
“Les acteurs de MuddyWater sont positionn\u00e9s \u00e0 la fois pour fournir des donn\u00e9es et des acc\u00e8s vol\u00e9s au gouvernement iranien et pour les partager avec d’autres cyber-acteurs malveillants”, ont d\u00e9clar\u00e9 les agences. mentionn\u00e9<\/a>.<\/p>\n L’avis conjoint est une gracieuset\u00e9 du Federal Bureau of Investigation (FBI), de la Cybersecurity and Infrastructure Security Agency (CISA), de la Cyber \u200b\u200bCommand Cyber \u200b\u200bNational Mission Force (CNMF) des \u00c9tats-Unis et du National Cyber \u200b\u200b\u200b\u200bSecurity Center (NCSC) du Royaume-Uni.<\/p>\n L’acteur du cyberespionnage a \u00e9t\u00e9 d\u00e9masqu\u00e9 cette ann\u00e9e pour avoir men\u00e9 des op\u00e9rations malveillantes dans le cadre du minist\u00e8re iranien du renseignement et de la s\u00e9curit\u00e9 (MOIS) ciblant un large \u00e9ventail d’organisations gouvernementales et du secteur priv\u00e9, notamment les t\u00e9l\u00e9communications, la d\u00e9fense, les administrations locales et les secteurs du p\u00e9trole et du gaz naturel. en Asie, en Afrique, en Europe et en Am\u00e9rique du Nord.<\/p>\n MuddyWater est \u00e9galement suivi par la communaut\u00e9 de la cybers\u00e9curit\u00e9 au sens large sous les noms Earth Vetala, MERCURY, Static Kitten, Seedworm et TEMP.Zagros, le groupe \u00e9tant connu pour ses cyberoffensives \u00e0 l’appui des objectifs du MOIS depuis environ 2018.<\/p>\n En plus d’exploiter les vuln\u00e9rabilit\u00e9s signal\u00e9es publiquement, le groupe a \u00e9t\u00e9 observ\u00e9 historiquement en utilisant des outils open source pour acc\u00e9der \u00e0 des donn\u00e9es sensibles, d\u00e9ployer des ransomwares et assurer la persistance sur les r\u00e9seaux victimes.<\/p>\n Une enqu\u00eate de suivi men\u00e9e par Cisco Talos \u00e0 la fin du mois dernier a \u00e9galement r\u00e9v\u00e9l\u00e9 une campagne de logiciels malveillants auparavant non document\u00e9e visant des organisations priv\u00e9es et des institutions gouvernementales turques dans le but de d\u00e9ployer une porte d\u00e9rob\u00e9e bas\u00e9e sur PowerShell.<\/p>\n Les nouvelles activit\u00e9s d\u00e9masqu\u00e9es par les autorit\u00e9s du renseignement ne sont pas diff\u00e9rentes en ce sens qu’elles utilisent des scripts PowerShell obscurcis pour dissimuler les parties les plus dommageables des attaques, y compris les fonctions de commande et de contr\u00f4le (C2).<\/p>\n Les intrusions sont facilit\u00e9es par une campagne de harponnage qui tente d’inciter ses cibles \u00e0 t\u00e9l\u00e9charger des archives ZIP suspectes contenant soit un fichier Excel avec une macro malveillante qui communique avec le serveur C2 de l’acteur, soit un fichier PDF qui d\u00e9pose une charge utile malveillante sur les personnes infect\u00e9es. syst\u00e8me.<\/p>\n “De plus, le groupe utilise plusieurs ensembles de logiciels malveillants – y compris PowGoop, Small Sieve, Canopy\/Starwhale, Mori et POWERSTATS – pour le chargement de logiciels malveillants, l’acc\u00e8s par porte d\u00e9rob\u00e9e, la persistance et l’exfiltration”, ont d\u00e9clar\u00e9 le FBI, la CISA, le CNMF et le NCSC.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\")
<\/a><\/div>\n
![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n