Les pirates informatiques iraniens de MuddyWater adoptent le nouvel outil C2 « DarkBeatC2 » lors de leur dernière campagne
L’acteur iranien connu sous le nom de MuddyWater a été attribué à une nouvelle infrastructure de commandement et de contrôle (C2) appelée DarkBeatC2 , devenant ainsi le dernier outil de ce type dans son arsenal après SimpleHarm , MuddyC3, PhonyC2 et MuddyC2Go .
“Même s’ils passent occasionnellement à un nouvel outil d’administration à distance ou modifient leur framework C2, les méthodes de MuddyWater restent constantes”, a déclaré Simon Kenin, chercheur en sécurité chez Deep Instinct , dans un rapport technique publié la semaine dernière.
MuddyWater, également appelé Boggy Serpens, Mango Sandstorm et TA450, serait affilié au ministère iranien du renseignement et de la sécurité (Vevak). Il est connu pour être actif depuis au moins 2017, orchestrant des attaques de spear phishing qui conduisent au déploiement de diverses solutions légitimes de surveillance et de gestion à distance (RMM) sur des systèmes compromis.
Des découvertes antérieures de Microsoft montrent que le groupe a des liens avec un autre groupe d’activités de menace iranien suivi sous le nom de Storm-1084 (alias DarkBit), ce dernier tirant parti de cet accès pour orchestrer des attaques destructrices contre des entités israéliennes.
La dernière campagne d’attaque, dont les détails ont également été révélés par Proofpoint le mois dernier, commence par des e-mails de spear phishing envoyés à partir de comptes compromis contenant des liens ou des pièces jointes hébergés sur des services comme Egnyte pour fournir le logiciel Atera Agent.
L’une des URL en question est « kinneretacil.egnyte[.]com », où le sous-domaine « kinneretacil » fait référence à « kinneret.ac.il », un établissement d’enseignement en Israël et client de Rashim, qui, à son tour, était violé par Lord Nemesis (alias Nemesis Kitten ou TunnelVision) dans le cadre d’une attaque de la chaîne d’approvisionnement ciblant le secteur universitaire du pays.
Lord Nemesis est soupçonné d’être une opération « faketiviste » dirigée contre Israël. Il convient également de noter que Nemesis Kitten est une société privée appelée Najee Technology, un sous-groupe de Mint Sandstorm soutenu par le Corps des Gardiens de la révolution islamique (CGRI) iranien. L’entreprise a été sanctionnée par le Trésor américain en septembre 2022.
“C’est important car si “Lord Nemesis” était capable de pirater le système de messagerie de Rashim, ils auraient pu pirater les systèmes de messagerie des clients de Rashim en utilisant les comptes administrateur que nous savons maintenant qu’ils ont obtenus de “Rashim””, a expliqué Kenin.
/>Le réseau de connexions a soulevé la possibilité que MuddyWater ait pu utiliser le compte de messagerie associé à Kinneret pour distribuer les liens, donnant ainsi aux messages une illusion de confiance et incitant les destinataires à cliquer dessus.
« Bien que cela ne soit pas concluant, la chronologie et le contexte des événements indiquent un transfert potentiel ou une collaboration entre le CGRI et le Vevak pour infliger autant de tort que possible aux organisations et aux individus israéliens », a ajouté Kenin.
Les attaques se distinguent également par le fait qu’elles s’appuient sur un ensemble de domaines et d’adresses IP collectivement appelés DarkBeatC2, responsables de la gestion des points de terminaison infectés. Ceci est accompli au moyen d’un code PowerShell conçu pour établir le contact avec le serveur C2 lors de l’obtention d’un accès initial par d’autres moyens.
Selon des conclusions indépendantes de l’unité 42 de Palo Alto Networks, l’acteur malveillant a été observé en train d’abuser de la fonction AutodialDLL du registre Windows pour charger latéralement une DLL malveillante et finalement établir des connexions avec un domaine DarkBeatC2.
Le mécanisme, en particulier, implique d’établir la persistance via une tâche planifiée qui exécute PowerShell pour exploiter la clé de registre AutodialDLL et charger la DLL pour le framework C2. La société de cybersécurité a déclaré que cette technique avait été utilisée dans une cyberattaque visant une cible anonyme au Moyen-Orient.
D’autres méthodes adoptées par MuddyWater pour établir une connexion C2 incluent l’utilisation d’une charge utile de première étape fournie via l’e-mail de spear phishing et l’exploitation du chargement latéral de DLL pour exécuter une bibliothèque malveillante.
Un contact réussi permet à l’hôte infecté de recevoir des réponses PowerShell qui, pour leur part, récupèrent deux autres scripts PowerShell du même serveur.
Alors que l’un des scripts est conçu pour lire le contenu d’un fichier nommé “C:\ProgramData\SysInt.log” et le transmettre au serveur C2 via une requête HTTP POST, le deuxième script interroge périodiquement le serveur pour obtenir des charges utiles supplémentaires et écrit les résultats de l’exécution dans “SysInt.log”. La nature exacte de la charge utile de la prochaine étape est actuellement inconnue.
“Ce cadre est similaire aux précédents cadres C2 utilisés par MuddyWater”, a déclaré Kenin. « PowerShell reste leur « pain et leur beurre ». »
Curious Serpens cible le secteur de la défense avec une porte dérobée FalseFont#
La divulgation intervient alors que l’Unité 42 a dévoilé le fonctionnement interne d’une porte dérobée appelée FalseFont qui est utilisée par un acteur menaçant iranien connu sous le nom de Peach Sandstorm (alias APT33, Curious Serpens, Elfin et Refined Kitten) dans des attaques ciblant les secteurs de l’aérospatiale et de la défense.
“Les auteurs de la menace imitent des logiciels de ressources humaines légitimes, en utilisant un faux processus de recrutement pour inciter les victimes à installer la porte dérobée”, ont déclaré les chercheurs en sécurité Tom Fakterman, Daniel Frank et Jerome Tujague , qualifiant FalseFont de “hautement ciblé”.
Une fois installé, il présente une interface de connexion se faisant passer pour une entreprise aérospatiale et capture les informations d’identification ainsi que les antécédents scolaires et professionnels saisis par la victime sur un serveur C2 contrôlé par l’acteur menaçant au format JSON.
L’ implant , outre son composant d’interface utilisateur graphique (GUI) pour les entrées utilisateur, active également furtivement un deuxième composant en arrière-plan qui établit la persistance sur le système, rassemble les métadonnées du système et exécute les commandes et les processus envoyés depuis le serveur C2.
Les autres fonctionnalités de FalseFont incluent la possibilité de télécharger et de télécharger des fichiers, de voler des informations d’identification, de capturer des captures d’écran, de mettre fin à des processus spécifiques, d’exécuter des commandes PowerShell et de mettre à jour automatiquement le logiciel malveillant.