L’acteur menaçant iranien connu sous le nom de MuddyWater poursuit sa tradition éprouvée de s’appuyer sur des outils d’administration à distance légitimes pour réquisitionner des systèmes ciblés.
Alors que le groupe d’États-nations a déjà utilisé ScreenConnect, RemoteUtilities et Syncro, un nouvelle analyse de Group-IB a révélé l’utilisation par l’adversaire du logiciel d’assistance à distance SimpleHelp en juin 2022.
MuddyWater, actif depuis au moins 2017, est considéré comme un élément subordonné au sein du ministère iranien du renseignement et de la sécurité (MOIS). Parmi les principales cibles figurent la Turquie, le Pakistan, les Émirats arabes unis, l’Irak, Israël, l’Arabie saoudite, la Jordanie, les États-Unis, l’Azerbaïdjan et l’Afghanistan.
« MuddyWater utilise SimpleHelp, un outil légitime de contrôle et de gestion des appareils à distance, pour assurer la persistance sur les appareils des victimes », a déclaré Nikita Rostovtsev, analyste principal des menaces chez Group-IB.
« SimpleHelp n’est pas compromis et est utilisé comme prévu. Les acteurs de la menace ont trouvé un moyen de télécharger l’outil à partir du site Web officiel et de l’utiliser dans leurs attaques. »
La méthode de distribution exacte utilisée pour déposer les échantillons SimpleHelp n’est actuellement pas claire, bien que le groupe soit connu pour envoyer des messages de harponnage contenant des liens malveillants à partir de boîtes aux lettres d’entreprise déjà compromises.
Les conclusions de Group-IB étaient corroboré par la société slovaque de cybersécurité ESET plus tôt en janvier, détaillant les attaques de MuddyWater en Égypte et en Arabie saoudite qui impliquaient l’utilisation de SimpleHelp pour déployer son outil de tunnellisation inversée Ligolo et un collecteur d’informations d’identification baptisé MKL64.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
La société basée à Singapour a en outre déclaré qu’elle était en mesure d’identifier des infrastructures jusque-là inconnues exploitées par le groupe ainsi qu’un Script PowerShell qui est capable de recevoir des commandes d’un serveur distant, dont les résultats sont renvoyés au serveur.
La divulgation intervient des semaines après que Microsoft a détaillé le modus operandi du groupe consistant à mener des attaques destructrices sur des environnements hybrides sous le couvert d’une opération de ransomware.
