Le US Cyber Command (USCYBERCOM) a officiellement lié le groupe de piratage MuddyWatter soutenu par l’Iran au ministère iranien du Renseignement et de la Sécurité (VEVAK).
Le MOIS est la principale agence de renseignement du gouvernement iranien, chargée de coordonner les renseignements et le contre-espionnage du pays, ainsi que les actions secrètes soutenant les objectifs du régime islamique au-delà des frontières de l’Iran.
« Ces acteurs, connus sous le nom de MuddyWater dans l’industrie, font partie de groupes menant des activités de renseignement iranien et ont été vus utiliser diverses techniques pour maintenir l’accès aux réseaux de victimes », USCYBERCOM a dit aujourd’hui.
« MuddyWater est un groupe menaçant iranien ; auparavant, l’industrie a signalé que MuddyWater ciblait principalement les pays du Moyen-Orient, ainsi que les pays européens et nord-américains. MuddyWater est un élément subordonné au sein du ministère iranien du renseignement et de la sécurité (VEVAK).
Le groupe de cyber-espionnage (alias SeedWorm et TEMP.Zagros) était premier repéré en 2017 et est connu pour cibler principalement les entités du Moyen-Orient et améliorer continuellement son arsenal.
Bien que relativement nouveau, le groupe APT parrainé par l’Iran est très actif et cible les secteurs des télécommunications, du gouvernement (services informatiques) et de l’industrie pétrolière.
MuddyWater a également été observé en élargissant leurs attaques au gouvernement et defe
Collaboration entre le #FBI et @CNMF_CyberAlerte par le biais de la National Cyber Investigative Joint Task Force (NCIJTF) est essentiel pour détecter les compromissions de réseau, atténuer les intrusions informatiques et empêcher les cyberactivités iraniennes malveillantes. #CyberIsATeamSport https://t.co/Y7QsTgHHZb
– FBI (@FBI) 12 janvier 2022
En collaboration avec le FBI, USCYBERCOM a aussi partagé plusieurs échantillons de logiciels malveillants utilisés par les opérateurs du groupe de piratage iranien à des fins d’espionnage et d’activités malveillantes.
Les exemples incluent plusieurs variantes de PowGoop, un chargeur de DLL conçu pour déchiffrer et exécuter un téléchargeur de logiciels malveillants basé sur PowerShell.
Des échantillons JavaScript déployés sur des appareils compromis à l’aide du chargeur PowGoop et un échantillon de porte dérobée Mori doté de capacités de communication par tunnelage DNS et utilisés dans des campagnes d’espionnage ont également été partagés aujourd’hui sur VirusTotal.
« Si vous voyez une combinaison de ces outils, l’acteur iranien MOIS MuddyWater peut être dans votre réseau. MuddyWater a été vu en train d’utiliser diverses techniques pour maintenir l’accès aux réseaux de victimes », a déclaré le commandement militaire américain. ajoutée.
« Il s’agit notamment de DLL à chargement latéral afin d’inciter des programmes légitimes à exécuter des logiciels malveillants et d’obscurcir les scripts PowerShell pour masquer les fonctions de commande et de contrôle. »