18 avril 2023Ravie LakshmananCybermenace/malware

Assistance À Distance Simplehelp

L’acteur menaçant iranien connu sous le nom de MuddyWater poursuit sa tradition éprouvée de s’appuyer sur des outils d’administration à distance légitimes pour réquisitionner des systèmes ciblés.

Alors que le groupe d’États-nations a déjà utilisé ScreenConnect, RemoteUtilities et Syncro, un nouvelle analyse de Group-IB a révélé l’utilisation par l’adversaire du logiciel d’assistance à distance SimpleHelp en juin 2022.

MuddyWater, actif depuis au moins 2017, est considéré comme un élément subordonné au sein du ministère iranien du renseignement et de la sécurité (MOIS). Parmi les principales cibles figurent la Turquie, le Pakistan, les Émirats arabes unis, l’Irak, Israël, l’Arabie saoudite, la Jordanie, les États-Unis, l’Azerbaïdjan et l’Afghanistan.

« MuddyWater utilise SimpleHelp, un outil légitime de contrôle et de gestion des appareils à distance, pour assurer la persistance sur les appareils des victimes », a déclaré Nikita Rostovtsev, analyste principal des menaces chez Group-IB.

Publicité

« SimpleHelp n’est pas compromis et est utilisé comme prévu. Les acteurs de la menace ont trouvé un moyen de télécharger l’outil à partir du site Web officiel et de l’utiliser dans leurs attaques. »

Assistance À Distance Simplehelp

La méthode de distribution exacte utilisée pour déposer les échantillons SimpleHelp n’est actuellement pas claire, bien que le groupe soit connu pour envoyer des messages de harponnage contenant des liens malveillants à partir de boîtes aux lettres d’entreprise déjà compromises.

Les conclusions de Group-IB étaient corroboré par la société slovaque de cybersécurité ESET plus tôt en janvier, détaillant les attaques de MuddyWater en Égypte et en Arabie saoudite qui impliquaient l’utilisation de SimpleHelp pour déployer son outil de tunnellisation inversée Ligolo et un collecteur d’informations d’identification baptisé MKL64.

WEBINAIRE À VENIR

Maîtrisez l’art de la collecte de renseignements sur le dark web

Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !

Sauvez ma place !

La société basée à Singapour a en outre déclaré qu’elle était en mesure d’identifier des infrastructures jusque-là inconnues exploitées par le groupe ainsi qu’un Script PowerShell qui est capable de recevoir des commandes d’un serveur distant, dont les résultats sont renvoyés au serveur.

La divulgation intervient des semaines après que Microsoft a détaillé le modus operandi du groupe consistant à mener des attaques destructrices sur des environnements hybrides sous le couvert d’une opération de ransomware.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.2/5 - (30 votes)
Publicité
Article précédent10 anime où un gars impopulaire devient populaire
Article suivantUne nouvelle fuite confirme apparemment le prix et la date de lancement du Pixel 7a et du Pixel Fold
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici