Group-IB, société de cybersécurité basée à Singapour, a annoncé qu’un groupe de pirates informatiques affilié au régime iranien, connu sous le nom de « MuddyWater », a ciblé plus de 100 organisations au Moyen-Orient et en Afrique du Nord dans le cadre d’une campagne de phishing sophistiquée.
Dans un rapport publié le mercredi 22 octobre, Group-IB indique que les attaquants ont utilisé une adresse e-mail compromise pour diffuser des logiciels malveillants auprès de diverses organisations, dont des institutions gouvernementales.
L’objectif principal de l’opération était de recueillir des renseignements politiques et sécuritaires auprès d’organisations internationales.
Dans le cadre de cette campagne, les pirates ont utilisé NorthVPN pour accéder aux boîtes de réception des victimes et leur envoyer des e-mails contenant des pièces jointes malveillantes. Ces e-mails comprenaient des documents Word qui, une fois les macros activées, exécutaient du code malveillant et installaient la quatrième version du logiciel malveillant de porte dérobée Phoenix sur les systèmes des victimes.
Selon les conclusions de l’entreprise, le logiciel malveillant a été exécuté à l’aide d’un outil d’injection appelé « FakeUpdate », après quoi il s’est connecté à un serveur de commande et de contrôle (C2) pour collecter les données cibles et recevoir de nouvelles commandes.
Les experts de l’entreprise ont déclaré que la structure du code, les serveurs de contrôle et les outils utilisés dans cette opération correspondent à ceux des précédentes campagnes MuddyWater, identifiant le groupe avec une « haute confiance » comme l’acteur principal des récentes attaques.
Le rapport ajoute que l’infrastructure de contrôle du groupe comprend des outils de gestion à distance et un logiciel de vol de mots de passe conçu pour extraire les identifiants stockés dans des navigateurs tels que Chrome, Brave et Opera. Le logiciel malveillant a été déguisé en application de calcul afin d’éviter tout soupçon.
Le 22 octobre, la Direction nationale israélienne de la cybersécurité a également signalé avoir détecté une vague de cyberattaques contre des sociétés de services informatiques israéliennes, soupçonnées d’être liées au régime iranien.
L’agence a déclaré qu’une cyberattaque ratée contre le centre médical Shamir pendant Yom Kippour, qui a entraîné la divulgation d’e-mails contenant des informations sensibles sur des patients, constituait une tentative de l’Iran de perturber le fonctionnement de l’hôpital. Cependant, l’attaque a été maîtrisée avant que le système central de dossiers médicaux de l’hôpital ne soit affecté.
Group-IB a souligné que MuddyWater, attribué au régime iranien, demeure l’un des acteurs de cyberespionnage les plus actifs de la région, ses opérations s’étendant au-delà du Moyen-Orient, vers l’Europe, l’Afrique et l’Amérique du Nord.
Le rapport indique : « MuddyWater a démontré une capacité accrue à intégrer du code personnalisé à des outils commerciaux pour une furtivité et une persistance accrues.»
Les experts ont averti qu’étant donné la concentration du groupe sur des cibles gouvernementales et les tensions géopolitiques persistantes dans la région, des opérations similaires devraient se poursuivre à l’avenir.