Posté le mars 9, 2021 à 16:13
DES HACKERS IRANIENS UTILISENT UN LOGICIEL UTILITAIRE À DISTANCE À DES FINS D’ESPIONNAGE
Dans un autre coup de théâtre, un groupe de hackers soupçonné d’être lié à l’Iran a lancé une nouvelle campagne d’espionnage, ciblant activement le Moyen-Orient et les régions voisines. L’objectif de cette nouvelle campagne est de s’attaquer aux agences gouvernementales, aux universités et aux entités touristiques de ces différents pays, dans le but principal de voler des données.
Earth Vetala apparemment lié à MuddyWater
Trend Micro a baptisé ce dernier groupe Earth Vetala. Cette découverte s’inscrit dans le prolongement de recherches antérieures menées par Anomali le mois dernier. À l’époque, Anomali avait conclu qu’il existait des preuves attribuant un niveau d’activité malveillante aux agences gouvernementales du Koweït et des Émirats arabes unis. À l’époque, il avait exploité l’outil de gestion ScreenConnect.
Dans ce cas, MuddyWater était lié aux actions malveillantes, du moins avec une confiance « modérée ». MuddyWater est un groupe de hackers basé en Iran, bien connu pour les diverses offensives qu’il a lancées contre les nations du Moyen-Orient. L’acteur malveillant est également connu sous de nombreux noms, notamment Static Kitten ou MERCURY, en plus de MuddyWater.
Les principes fondamentaux de la campagne
Earth Vetala, comme cela a été expliqué, a principalement utilisé des campagnes de spear-phishing, c’est-à-dire des courriels de phishing contenant divers liens intégrés vers OneHub, un service de partage de fichiers populaire.
Ce service était utilisé par les acteurs malveillants pour distribuer quelques logiciels malveillants, allant de portes dérobées personnalisées à des vidages de mots de passe. Ensuite, des communications étaient établies avec les serveurs de commande et de contrôle (C2) afin d’exécuter divers scripts PowerShell obfusqués.
Aujourd’hui, les liens actuels redirigent les utilisateurs vers un fichier .ZIP, qui contient lui-même un logiciel d’administration à distance très légitime, développé par RemoteUtilities. Ce logiciel est capable de tout ce que l’on peut attendre de lui : Navigation dans les répertoires et les fichiers, chargement et téléchargement de fichiers, exécution et fin de processus, ainsi que la prise de diverses captures d’écran.
Un étrange manque de technicité
Trend Micro a souligné les étranges similitudes entre cette campagne et celle menée par MuddyWater. Le logiciel a peut-être changé, passant de ScreenConnect à RemoteUtilities, mais les techniques et tactiques de distribution de ce logiciel restent assez similaires. Cette dernière attaque, comme l’indique Trend Micro, visait principalement le Bahreïn, l’Azerbaïdjan, l’Arabie saoudite, Israël et les Émirats arabes unis.
Ce qui est intéressant, c’est qu’il y a quelque chose d’étrange dans ce nouveau groupe Earth Vetala. Un des événements les plus notables est que les acteurs de la menace ont essayé de configurer un SharpChisel dans l’un des hôtes compromis en Arabie Saoudite.
Les acteurs de la menace ont essayé d’implémenter une enveloppe C# pour un outil de tunneling TCP/UDP du nom de Chisel, principalement pour les communications C2. Après avoir échoué, le groupe a téléchargé un voleur d’identifiants, un outil d’accès à distance, ainsi qu’une porte dérobée PowerShell permettant l’exécution de commandes arbitraires à distance.
Trend Micro explique que Earth Vetala représente une menace très étrange et intéressante. Le principal problème du groupe est que ses tactiques et son mode opératoire général semblent être ceux de MuddyWater, mais il semble également que les acteurs de la menace au sein du groupe lui-même ne sont pas vraiment versés dans les différents éléments d’expertise nécessaires à ce type d’opérations, ne sachant pas vraiment comment utiliser correctement les outils de piratage à leur disposition. C’est d’autant plus étrange que d’autres attaques ont montré des niveaux de compétence technique bien plus avancés.
Des faits étranges
Il est possible qu’il s’agisse d’une sorte de nouveau groupe de membres au sein de MuddyWater dans son ensemble, chargé de mener une opération pour tester leur courage. Bien sûr, il s’agit d’une pure spéculation.
Un autre avertissement important, pour tous les lecteurs occupant une position importante dans les pays concernés, est que la campagne de spearphishing Earth Vetala est toujours en cours. Il est instamment demandé aux utilisateurs d’être extrêmement prudents avec les e-mails envoyés, même s’ils semblent légitimes.
Ne cliquez pas sur un fichier joint ou un lien contenu dans un courriel auquel vous ne faites pas absolument confiance, et croyez toujours aux intentions malveillantes lorsque vous lisez quelque chose qui semble trop beau pour être vrai : c’est presque toujours le cas.
Le temps nous dira comment cette nouvelle campagne de piratage se déroulera, mais pour l’instant, ce n’est qu’une des nombreuses campagnes en cours. Dans une nouvelle plus amusante, le gouvernement américain a prévu de lancer des opérations secrètes et clandestines contre la Russie en représailles au piratage de la Chine. Le monde entier en est maintenant intimement conscient grâce à l’administration Biden qui l’a annoncé publiquement au monde entier.
