{"id":807246,"date":"2023-06-29T14:46:32","date_gmt":"2023-06-29T16:46:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/de-muddyc3-a-phonyc2-le-muddywater-iranien-evolue-avec-une-nouvelle-cyber-arme\/"},"modified":"2023-06-29T14:46:35","modified_gmt":"2023-06-29T16:46:35","slug":"de-muddyc3-a-phonyc2-le-muddywater-iranien-evolue-avec-une-nouvelle-cyber-arme","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/de-muddyc3-a-phonyc2-le-muddywater-iranien-evolue-avec-une-nouvelle-cyber-arme\/","title":{"rendered":"De MuddyC3 \u00e0 PhonyC2\u00a0: le MuddyWater iranien \u00e9volue avec une nouvelle cyber-arme"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 juin 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Le groupe parrain\u00e9 par l’\u00c9tat iranien surnomm\u00e9 Eau boueuse <\/b>a \u00e9t\u00e9 attribu\u00e9 \u00e0 un cadre de commande et de contr\u00f4le (C2) in\u00e9dit appel\u00e9 PhonyC2<\/strong> qui a \u00e9t\u00e9 mis \u00e0 profit par l’acteur depuis 2021.<\/p>\n

Les preuves montrent que le cadre sur mesure et activement d\u00e9velopp\u00e9 a \u00e9t\u00e9 mis \u00e0 profit lors de l’attaque de f\u00e9vrier 2023 contre le Technion, un institut de recherche isra\u00e9lien, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Deep Instinct dans un communiqu\u00e9. rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n

De plus, des liens suppl\u00e9mentaires ont \u00e9t\u00e9 d\u00e9couverts entre le programme bas\u00e9 sur Python 3 et d’autres attaques men\u00e9es par MuddyWater, y compris l’exploitation en cours des serveurs PaperCut.<\/p>\n

“Il est structurellement et fonctionnellement similaire \u00e0 BoueuxC3<\/a>un ancien MuddyWater cadre C2 personnalis\u00e9<\/a> qui a \u00e9t\u00e9 \u00e9crit en Python 2 \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Simon Kenin. \u00ab MuddyWater met continuellement \u00e0 jour le cadre PhonyC2 et modifie les TTP pour \u00e9viter la d\u00e9tection.<\/p>\n

MuddyWater, \u00e9galement connu sous le nom de Mango Sandstorm (anciennement Mercury), est un groupe de cyberespionnage connu pour op\u00e9rer au nom du minist\u00e8re iranien du renseignement et de la s\u00e9curit\u00e9 (MOIS) depuis au moins 2017.<\/p>\n

Les r\u00e9sultats arrivent pr\u00e8s de trois mois apr\u00e8s que Microsoft a impliqu\u00e9 l’acteur de la menace pour avoir men\u00e9 des attaques destructrices sur des environnements hybrides, tout en appelant \u00e9galement sa collaboration avec un cluster connexe suivi sous le nom de Storm-1084 (alias DEV-1084 ou DarkBit) pour la reconnaissance, la persistance et mouvement lat\u00e9ral.<\/p>\n

\"La<\/a><\/center><\/div>\n

“L’Iran m\u00e8ne des cyberop\u00e9rations visant \u00e0 la collecte de renseignements \u00e0 des fins strat\u00e9giques, ciblant essentiellement les \u00c9tats voisins, en particulier les rivaux g\u00e9opolitiques de l’Iran tels qu’Isra\u00ebl, l’Arabie saoudite et les pays du Golfe arabe, une concentration continue observ\u00e9e dans toutes les op\u00e9rations depuis 2011”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 fran\u00e7aise de cybers\u00e9curit\u00e9 Sekoia. a dit<\/a> dans un aper\u00e7u des cyberattaques du gouvernement pro-iranien.<\/p>\n

Les cha\u00eenes d’attaque orchestr\u00e9es par le groupe, comme d’autres ensembles d’intrusions iraniennes, utilisent des serveurs publics vuln\u00e9rables et l’ing\u00e9nierie sociale comme principaux points d’acc\u00e8s initiaux pour violer les cibles d’int\u00e9r\u00eat.<\/p>\n

\"\"<\/div>\n

“Il s’agit notamment de l’utilisation de marionnettes \u00e0 chaussettes charismatiques, de l’attrait d’opportunit\u00e9s d’emploi potentielles, de la sollicitation par des journalistes et du fait de se faire passer pour des experts de groupes de r\u00e9flexion \u00e0 la recherche d’opinions”, a d\u00e9clar\u00e9 Recorded Future. indiqu\u00e9<\/a> l’ann\u00e9e derni\u00e8re. “L’utilisation de l’ing\u00e9nierie sociale est un \u00e9l\u00e9ment central de l’artisanat iranien APT lors de l’engagement dans des op\u00e9rations de cyberespionnage et d’information.”<\/p>\n

Deep Instinct a d\u00e9clar\u00e9 avoir d\u00e9couvert le framework PhonyC2 en avril 2023 sur un serveur li\u00e9 \u00e0 une infrastructure plus large utilis\u00e9e par MuddyWater dans son attaque ciblant Technion plus t\u00f4t cette ann\u00e9e. Le m\u00eame serveur s’est \u00e9galement av\u00e9r\u00e9 h\u00e9berger Ligolo, un outil de tunnellisation inverse de base utilis\u00e9 par l’acteur de la menace.<\/p>\n

\"\"<\/div>\n

La connexion provient des noms d’artefact “C:programdatadb.sqlite” et “C:programdatadb.ps1”, que Microsoft d\u00e9crit<\/a> en tant que portes d\u00e9rob\u00e9es PowerShell personnalis\u00e9es utilis\u00e9es par MuddyWater et qui sont g\u00e9n\u00e9r\u00e9es dynamiquement via le framework PhonyC2 pour \u00eatre ex\u00e9cut\u00e9es sur l’h\u00f4te infect\u00e9.<\/p>\n

PhonyC2 est un “framework de post-exploitation utilis\u00e9 pour g\u00e9n\u00e9rer diverses charges utiles qui se connectent au C2 et attendent les instructions de l’op\u00e9rateur pour effectuer la derni\u00e8re \u00e9tape de la” cha\u00eene de destruction d’intrusion “”, a d\u00e9clar\u00e9 Kenin, le qualifiant de successeur de MuddyC3 et POWERSTATS.<\/p>\n

\"La<\/a><\/center><\/div>\n

Certaines des commandes notables prises en charge par le framework sont les suivantes –<\/p>\n