MuddyWater, un acteur national iranien, a été associé à une nouvelle campagne de spear-phishing ciblant deux entités israéliennes.

La société de cybersécurité Deep Instinct, qui a révélé les détails des attaques, a déclaré que la campagne « présente des TTP actualisées par rapport aux activités précédemment signalées de MuddyWater », qui a, par le passé, utilisé des chaînes d’attaque similaires pour distribuer d’autres outils d’accès à distance tels que ScreenConnect, RemoteUtilities, Syncro et SimpleHelp.

Bien que ce dernier développement marque la première fois que MuddyWater a été observé en train d’utiliser le logiciel de surveillance à distance de N-able, il souligne également le fait que le modus operandi largement inchangé continue de produire un certain niveau de succès pour l’acteur de la menace.

Ces résultats ont également été confirmés par la société de cybersécurité Group-IB dans un message partagé sur X (anciennement Twitter).

Le groupe parrainé par l’État est une équipe de cyberespionnage qui serait un élément subordonné du ministère iranien du Renseignement et de la Sécurité (MOIS), rejoignant d’autres groupes affiliés au MOIS comme OilRig, Lyceum, Agrius et Scarred Manticore. Il est actif depuis au moins 2017.

Les séquences d’attaque précédentes ont consisté à envoyer des courriels de spear-phishing avec des liens directs ainsi que des pièces jointes HTML, PDF et RTF contenant des liens vers des archives hébergées sur diverses plateformes de partage de fichiers qui finissent par déposer l’un des outils d’administration à distance susmentionnés.

Les tactiques et outils les plus récents représentent à certains égards une continuation, et à d’autres une évolution, pour le groupe connu sous les noms de Mango Sandstorm et Static Kitten. Ce qui est différent cette fois-ci, c’est l’utilisation d’un nouveau service de partage de fichiers appelé Storyblok pour lancer un vecteur d’infection en plusieurs étapes.
« Il contient des fichiers cachés, un fichier LNK qui déclenche l’infection et un fichier exécutable conçu pour démasquer un document leurre tout en exécutant Advanced Monitoring Agent, un outil d’administration à distance », a déclaré Simon Kenin, chercheur en sécurité, dans une analyse publiée mercredi.

« Une fois la victime infectée, l’opérateur de MuddyWater se connecte à l’hôte infecté à l’aide de l’outil d’administration à distance légitime et commence à faire de la reconnaissance sur la cible.

Le document affiché à la victime est un mémo officiel de la Commission de la fonction publique israélienne, qui peut être téléchargé sur son site officiel.

Signe de l’amélioration rapide des capacités cybernétiques malveillantes de l’Iran, Deep Instinct a déclaré avoir également repéré des acteurs de MuddyWater exploitant un nouveau cadre de commande et de contrôle (C2) appelé MuddyC2Go, qui succède à MuddyC3 et PhonyC2.