Focus adversaire : MuddyWater
MuddyWater, aussi connu sous le nom de Seedworm et TEMP.Zagros, est un mode opératoire supposé étatique actif depuis au moins 2017. Même s’il semblerait que le groupe ait pour donneur d’ordre la République islamique d’Iran, une affiliation avec le gouvernement iranien reste à confirmer.
Les objectifs de MuddyWater sont aussi incertains : l’hypothèse de motivations à des fins d’espionnage et de sabotage semble les plus plausibles.
MuddyWater s’attaque à des pays présentant des intérêts stratégiques et politiques pour le gouvernement iranien. Ses victimes se trouvent sur la zone d’influence de l’Iran, concentrée essentiellement sur le bassin moyen-oriental. Plus particulièrement, le groupe cible des institutions gouvernementales et militaires ainsi que les secteurs des télécommunications ou de l’éducation. Alors que les attaquants s’intéressaient au départ principalement à l’Arabie Saoudite et l’Afghanistan, ils ont élargi le nombre de leurs cibles à la Turquie, la Jordanie, l’Azerbaïdjan, l’Irak, le Pakistan, le Liban et les Emirats arabes unis.
D’après la société CheckPoint, ils auraient également agrandi leur spectre d’activités à la Biélorussie et à l’Ukraine au cours d’une campagne menée début 2019. Ces derniers se trouvant hors de l’environnement régional iranien, on peut supposer que MuddyWater se sert de ces pays, connus pour leurs vulnérabilités informatiques, pour tester des outils qu’ils emploieront lors d’une prochaine campagne visant leurs cibles d’intérêt réelles.
Techniques d’attaques
Les attaquants utilisent le hameçonnage, un vecteur d’infection simple mais efficace qu’ils associent à des techniques d’ingénierie sociales sophistiquées. Un courriel électronique personnalisé et portant souvent le logo d’institutions gouvernementales officielles ou de sociétés réelles est envoyé à la cible. Ce courriel d’hameçonnage contient un document malveillant (T1192) ou un lien (T1193) pointant vers un document malveillant hébergé sur l’infrastructure de l’attaquant. Une fois ouvert, le lien ou document malveillant, associé à une macro VBA, livre un script Powershell (T1064, T1086), tel que Powerstats, Powermud ou Powermuddy. Ces derniers sont des portes dérobées développées par l’attaquant qui permettent de collecter (T1056), voir supprimer des données (T1107), ainsi que d’exécuter d’autres outils sur la machine de la victime. Par exemple, les outils publics Lazagne et Mimkatz ainsi que des outils développés par l’attaquant, Losi Boomber et Muddy, sont employés pour voler les mots de passe enregistrés dans les navigateurs Web et venant des clients de messagerie (T1056, T1081), démontrant ainsi que l’accès aux données de la victime est l’un de leurs principaux objectifs.
Les scripts sont fortement obscurcis (T1027), comportant entre cinq et sept couches d’obscurcissement Powershell ou VBA. Ces couches supplémentaires ajoutées avant de livrer leur signature rendent plus difficile l’analyse technique de l’attaque.
L’analyse des dernières campagnes de MuddyWater a aussi permis de montrer une amélioration dans les capacités techniques du groupe, même si ces dernières restent très rudimentaires. En plus de mettre continuellement à jour ses outils afin d’éviter leur détection, MuddyWater développe de nouveaux outils (Losi Boomber, Muddy, Slaver.py, Cr.exe) ainsi que des versions personnalisées d’outils accessibles en open source. Il est donc fortement probable de les voir introduire davantage de changements dans un proche avenir.
Sources :
- https://www.sekoia.fr/blog/falling-on-muddywater/
- https://securelist.com/muddywaters-arsenal/90659/
- https://www.clearskysec.com/muddywater-targets-kurdish-groups-turkish-orgs/
- https://research.checkpoint.com/the-muddy-waters-of-apt-attacks/
- https://threatrecon.nshc.net/2019/03/07/sectord02-powershell-backdoor-analysis/
- https://www.symantec.com/connect/ja/blogs/seedworm-it
- https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group
- https://blog.trendmicro.com/trendlabs-security-intelligence/new-powershell-based-backdoor-found-in-turkey-strikingly-similar-to-muddywater-tools/
- https://www.clearskysec.com/wp-content/uploads/2018/11/MuddyWater-Operations-in-Lebanon-and-Oman.pdf