- Actualités
- >cybersécurité
Iran : les pirates recourent à un nouveau cadre C2 pour attaquer Israël
- par Kenan
- , Publié le 10 novembre 2023
- , à22 h 20 min
Des acteurs étatiques iraniens ont été observés en train d’utiliser un cadre de commandement et de contrôle (C2) non documenté auparavant, appelé MuddyC2Go, dans le cadre d’attaques visant Israël.
« Le composant web du cadre est écrit dans le langage de programmation Go », a déclaré Simon Kenin, chercheur en sécurité chez Deep Instinct, dans un rapport technique publié mercredi.
L’outil a été attribué à MuddyWater, une équipe de pirates informatiques parrainée par l’État iranien et affiliée au ministère iranien du Renseignement et de la Sécurité (MOIS).
La société de cybersécurité a déclaré que le cadre C2 pourrait avoir été utilisé par l’acteur de la menace depuis le début de 2020, les attaques récentes l’ayant exploité à la place de PhonyC2, une autre plateforme C2 personnalisée de MuddyWater qui a été révélée en juin 2023 et dont le code source a fait l’objet d’une fuite.
Les séquences d’attaque typiques observées au fil des ans impliquent l’envoi de courriels de spear-phishing contenant des archives contenant des logiciels malveillants ou de faux liens qui conduisent au déploiement d’outils légitimes d’administration à distance. L’installation du logiciel d’administration à distance ouvre la voie à la livraison de charges utiles supplémentaires, dont PhonyC2.
Le modus operandi de MuddyWater a depuis été modifié : il utilise des archives protégées par mot de passe pour contourner les solutions de sécurité du courrier électronique et distribue un exécutable au lieu d’un outil d’administration à distance.
« Cet exécutable contient un script PowerShell intégré qui se connecte automatiquement au C2 de MuddyWater, éliminant ainsi la nécessité d’une exécution manuelle par l’opérateur », explique M. Kenin.
Le serveur MuddyC2Go envoie en retour un script PowerShell qui s’exécute toutes les 10 secondes et attend d’autres commandes de l’opérateur. Bien que l’on ne connaisse pas toutes les fonctionnalités de MuddyC2Go, on soupçonne qu’il s’agit d’un cadre chargé de générer des charges utiles PowerShell afin de mener des activités de post-exploitation. Nous recommandons de désactiver PowerShell s’il n’est pas nécessaire », a déclaré M. Kenin. « S’il est activé, nous recommandons de surveiller de près l’activité de PowerShell.