Decoration PressNEWSROOM

L’APT iranien MuddyWater décuple ses activités, ciblant des organisations au Moyen Orient en Afrique et en Europe.

6 min

Suite à une publication du National Cyber Directorate d’Israël sur une vague d’attaques ciblant des organisations locales, l’équipe Cyber Threat Research d’HarfangLab a mené des investigations pour en savoir plus sur l’acteur à l’origine de l’attaque, ses techniques et ses tactiques, ainsi que sur la victimologie étendue. L’acteur de la menace à l’origine de ces attaques est donc, MuddyWater, un acteur APT actif, dont on estime avec un degré de confiance élevé qu’il est parrainé par l’État iranien. Compte tenu des tensions croissantes entre l’Iran et Israël, l’équipe CTR d’HarfangLab a dès lors suivi ses activités de près. Elle a découvert une campagne très active, particulièrement intense depuis octobre 2023, qui correspond à l’escalade du conflit entre le Hamas et Israël.

Qui est MuddyWater ?

MuddyWater est un groupe APT considéré comme un élément subordonné du ministère du Renseignement et de la Sécurité Iranien. Le groupe a traditionnellement surtout ciblé des entités du Moyen-Orient, mais aussi, récemment, des organisations africaines de télécommunications. Cette dernière activité serait également liée au conflit entre Israël et le Hamas. Connu et actif depuis au moins 2017, le modus operandi de MuddyWater consiste généralement à exploiter des outils légitimes de surveillance et de gestion à distance (RMM) compromis, pour infecter les machines des victimes et en prendre le contrôle total. Comme le montre la campagne d’attaque en cours sur laquelle l’équipe CTR de HarfangLab a effectué des recherches, le groupe a maintenant entièrement migré vers l’utilisation abusive d’Atera Agent. Cet outil offre une grande sécurité opérationnelle car il ne nécessite aucune infrastructure pour être déployé par les attaquants.

Un acteur APT prospère, avec des méthodes d’attaques perfectionnées.

Estimated timeline of Atera agent activity

Les chercheurs ont découvert une augmentation significative des paquets d’installation de l’outil RMM Atera Agent depuis octobre 2023. Au cours des six derniers mois, MuddyWater a encore affiné son utilisation de logiciels RMM légitimes et a intensifié ses attaques. Ils utilisent l’offre d’essai gratuit d’Atera Agent et s’enregistrent via des comptes de messagerie professionnels et privés compromis pour pénétrer dans les machines des victimes. Pour attirer leur cible vers le lien du paquet d’installation infecté, ils utilisent des méthodes de spear-phishing. Les courriels contiennent des liens qui redirigent soit vers des services d’hébergement de fichiers gratuits sur lesquels se trouve le programme d’installation d’Atera Agent, soit redirigent directement vers le programme d’installation lui-même. L’équipe CTR de HarfangLab a également découvert que l’acteur abusait du module de chat de Zendesk pour héberger ces installateurs. Il est intéressant de noter que les courriels utilisés pour s’inscrire à Atera Agent et pour distribuer les courriels de spear phishing ne sont pas les mêmes.

Ce type d’attaque permet à l’acteur de la menace d’exercer un contrôle total sur toute personne qui l’installe. Sur les ordinateurs qu’ils infectent, ils volent probablement des informations et des identifiants qu’ils réutilisent lors de l’attaque suivante. Ces informations d’identification sont ensuite probablement utilisées pour envoyer le prochain courriel de spear phishing, et ainsi de suite.

Les chercheurs ont noté que la sophistication et la pertinence des courriels de spear phishing ont augmenté entre le début de la campagne en octobre 2023 et aujourd’hui. Les leurres sur mesure de MuddyWater se sont considérablement améliorés au cours de cette période.

L’équipe CTR soupçonne MuddyWater de ne pas se contenter de compromettre les courriels professionnels, mais de recevoir également l’accès à des comptes précédemment violés par des groupes affiliés.

Bien que les chercheurs n’aient pas pu confirmer d’autres étapes du cycle de vie de l’attaque, ces derniers pensent que ces déploiements d’agents Atera sont suivis de déploiements d’implants PowerShell.

Des douzaines de victimes identifiées à travers la région

Map of suspected targets
Fig. 9 – Map of suspected targets

Entre octobre 2023 et avril 2024, les victimes identifiées de cette campagne, que les chercheurs de HarfangLab estiment n’être qu’une petite partie de l’ensemble de la victimologie, sont des compagnies aériennes, des sociétés informatiques, des sociétés de télécommunications, des sociétés pharmaceutiques, des fabricants automobile, des sociétés de logistique, des sociétés de voyage et de tourisme, des services d’immigration et des petites entreprises en Israël, Algérie, Inde, Turquie, Italie et Égypte.

Ariel Jungheit, chercheur en cybersécurité chez HarfangLab, explique :  » À ‘image de l’escalade du conflit en Israël, MuddyWater est plus actif que jamais. Le groupe poursuit ses efforts d’espionnage, probablement soutenus par des groupes affiliés de type « faketiviste » visant à déstabiliser les capacités. Compte tenu de l’évolution récente de la situation dans la région, nous prévoyons une augmentation des opérations cyber des deux côtés dans un avenir proche « .

Récupération et prévention de ces attaques

Malheureusement, il est toujours difficile pour les organisations de détecter l’utilisation abusive des logiciels RMM, en particulier lorsqu’ils sont identifiés comme étant légitimes. Si l’organisation ne surveille pas étroitement l’utilisation de ces logiciels, ou si elle ne les bloque pas complètement, il est probable que l’infection initiale ne sera pas détectée. Nous ne pouvons que recommander vivement aux entreprises de sensibiliser leur personnel à être très prudent avec les courriels contenant des liens, et à prêter attention aux tentatives d’hameçonnage.

Les règles de détection d’HarfangLab ont été mises à jour pour détecter et bloquer l’exécution des binaires Atera Agent utilisés par MuddyWater.

Pour lire le rapport complet, rendez-vous sur Inside the Lab.

À propos de HarfangLab :

HarfangLab est une entreprise de cybersécurité française spécialisée dans la protection du endpoint. Elle édite des technologies qui permettent d’anticiper et neutraliser les cyberattaques sur les ordinateurs et les serveurs, mais également de mieux connaître son infrastructure informatique pour mieux la sécuriser.  Premier EDR certifié par l’ANSSI, HarfangLab compte aujourd’hui de nombreux clients parmi lesquels des administrations, des entreprises et des organisations d’envergure internationale, évoluant dans des secteurs très sensibles. Les solutions d’HarfangLab se distinguent par : l’ouverture, avec des solutions qui s’intègrent nativement à toutes les autres briques de sécurité ; par leur transparence, car les données collectées par les outils restent accessibles et par l’indépendance numérique qu’elles offrent, car ses clients sont libres de choisir leur mode d’hébergement : cloud, public, privé, ou SecNumCloud, ou leur propre infrastructure.