MuddyWater APT utilise ScreenConnect pour espionner les gouvernements du Moyen-Orient

[post-views]
février 17, 2021 · 4 min de lecture
MuddyWater APT utilise ScreenConnect pour espionner les gouvernements du Moyen-Orient

Les experts en sécurité d’Anomali ont révélé une opération de cyber-espionnage ciblée visant les gouvernements des Émirats Arabes Unis (EAU) et du Koweït. La campagne malveillante a été lancée par un acteur soutenu par l’État iranien connu sous le nom de MuddyWater (Static Kitten, MERCURY, Seedworm). Selon les chercheurs, les adversaires ont utilisé l’outil logiciel légitime ConnectWise Control (anciennement ScreenConnect) pour se déplacer latéralement à travers les réseaux compromis et livrer des logiciels malveillants aux victimes.

Chaîne de destruction d’attaque MuddyWater

La nouvelle campagne MuddyWater est une étape ultérieure de l’activité malveillante en cours visant à interférer avec les décisions politiques des EAU et d’Israël. Tout au long de 2020, les relations entre les deux gouvernements ont évolué vers une normalisation, devenant un terrain de tensions accrues dans la région. Les hackers liés à l’Iran ont continuellement attaqué le Ministère des Affaires Étrangères (MOFA) koweitien après qu’il a annoncé son intention de diriger le processus de médiation entre l’Arabie Saoudite et l’Iran. De plus, en octobre 2020, les acteurs de la menace MuddyWater ont lancé Operation Quicksand pour compromettre d’importants fournisseurs israéliens.

La dernière attaque MuddyWater contre les institutions gouvernementales des EAU et du Koweït commence par un courriel d’hameçonnage contenant des documents factices en pièce jointe. Les documents incitent les utilisateurs à suivre les liens du téléchargeur malveillant, qui, s’ils sont cliqués, redirigent les victimes vers le stockage cloud OneHub. Deux fichiers ZIP distincts hébergés là-bas prétendent être un rapport sur les relations EAU-Israël et une annonce de bourse. Les appâts sont spécifiquement conçus pour être d’intérêt pour les employés du gouvernement. Une fois ouverts et exécutés, les fichiers déploient la charge utile ConnectWise Control sur l’appareil de la victime.

ScreenConnect et OneHub abusés pour le cyber-espionnage

Les acteurs de la menace s’appuient de plus en plus sur des outils légitimes d’administration à distance pour renforcer leurs capacités de mouvement latéral et de reconnaissance. MuddyWater ne se tient pas à l’écart de cette tendance, abusant de ScreenConnect pour espionner ses victimes et livrer des exécutables malveillants.

ScreenConnect (maintenant acquis par ConnectWise Inc.) est un logiciel de support à distance pleinement fonctionnel qui offre la visualisation et le contrôle à distance d’appareils de n’importe où avec une connexion Internet. Lors de la dernière campagne MuddyWater, cet outil a été utilisé pour atteindre la persistance, se déplacer latéralement à travers le réseau compromis, maintenir la communication avec le serveur de l’attaquant et exécuter des commandes arbitraires, facilitant le déversement de données et les activités de cyber-espionnage.

Un autre service légitime abusé durant cette campagne est le stockage cloud OneHub. MuddyWater abuse de plus en plus de OneHub à partir de l’opération QuickSand, lorsque les attaquants l’ont utilisé pour stocker les charges utiles malveillantes. D’autres acteurs de la menace ont également été repérés utilisant le service cloud à diverses fins malveillantes. Par exemple, OneHub a été utilisé dans plusieurs campagnes de malspam pour héberger les fichiers malveillants.

Détection d’activité malveillante

Pour faciliter la défense proactive contre les attaques MuddyWater, vous pouvez télécharger une nouvelle règle Sigma de notre développeur Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR : Carbon Black

MITRE ATT&CK :

Tactiques : Découverte

Techniques : Interrogation du registre (T1012), Découverte des informations système (T1082)

Acteur : MuddyWater

Restez à l’écoute pour plus de mises à jour de blog pour ne pas manquer les dernières détections liées aux activités de MuddyWater.

Inscrivez-vous à Threat Detection Marketplace et accédez à la bibliothèque de contenu SOC de pointe avec plus de 90 000 règles de détection et de réponse. La base de contenu s’enrichit chaque jour grâce aux efforts conjoints de notre communauté internationale de plus de 300 experts en sécurité. Vous souhaitez faire partie de nos initiatives de chasse aux menaces? Rejoignez le Programme Threat Bounty!

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.